As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como registrar em log o acesso de usuário final com auditoria de acesso a arquivos
<a name="file-access-auditing"></a>

O Amazon FSx para Windows File Server oferece suporte à auditoria do acesso do usuário final a arquivos, pastas e compartilhamentos de arquivos. Você pode optar por enviar os logs de eventos de auditoria de um sistema de arquivos para outros serviços da AWS que oferecem um conjunto avançado de recursos. Isso inclui permitir consultar, processar, armazenar e arquivar logs, emitir notificações e acionar ações para aprimorar ainda mais suas metas de segurança e conformidade.

Para obter mais informações sobre o uso da auditoria de acesso a arquivos para obter insights sobre padrões de acesso e implementar notificações de segurança para a atividade do usuário final, consulte [File storage access patterns insights](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/) e [Implementing security notifications for end user activity](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/).

**nota**  
A auditoria de acesso a arquivos é suportada somente em sistemas FSx de arquivos Windows com uma capacidade de taxa de transferência de 32 MBps ou mais. Você pode modificar a capacidade de throughput em sistemas de arquivos existentes. Para obter mais informações, consulte [Como gerenciar a capacidade de throughput](managing-throughput-capacity.md).

A auditoria de acesso a arquivos permite que você registre os acessos de usuários finais a arquivos, pastas e compartilhamentos de arquivos individuais com base nos controles de auditoria definidos. Os controles de auditoria também são conhecidos como listas de controle de acesso do sistema NTFS (SACLs). Se você já tem controles de auditoria configurados em seus dados de arquivos existentes, você pode tirar proveito da auditoria de acesso a arquivos criando um novo sistema de arquivos Amazon FSx para Windows File Server e migrando seus dados.

A Amazon FSx oferece suporte aos seguintes eventos de auditoria do Windows para acessos a arquivos, pastas e compartilhamentos de arquivos:
+ Para acessos a arquivos, ele é compatível com: Tudo, Ir para pasta/Executar arquivo, Listar pasta/Ler dados, Ler atributos, Criar arquivos/Gravar dados, Criar pastas/Anexar dados, Gravar recursos, Excluir subpastas e arquivos, Excluir, Ler permissões, Alterar permissões e Assumir propriedade.
+ Para acessos ao compartilhamento de arquivos, ele é compatível com: Conectar com um compartilhamento de arquivos.

Em todos os acessos a arquivos, pastas e compartilhamentos de arquivos, a Amazon FSx suporta o registro de tentativas bem-sucedidas (como um usuário com permissões suficientes acessando com sucesso um arquivo ou compartilhamento de arquivos), tentativas malsucedidas ou ambas.

Você pode configurar se deseja auditoria de acesso somente em arquivos e pastas, somente em compartilhamentos de arquivos ou em ambos. Você também pode configurar quais tipos de acesso devem ser registrados em log (somente tentativas com êxito, somente tentativas malsucedidas ou ambas). Você também pode desativar a auditoria de acesso a arquivos a qualquer momento.

**nota**  
A auditoria de acesso a arquivos registra os dados de acesso do usuário final somente a partir do momento em que estiver habilitada. Ou seja, a auditoria de acesso a arquivos não gera logs de eventos de auditoria de atividades de acesso a arquivos, pastas e compartilhamentos de arquivos do usuário final que ocorreram antes da habilitação da auditoria de acesso a arquivos.

A taxa máxima de eventos de auditoria de acesso compatível é de cinco mil eventos por segundo. Os eventos de auditoria de acesso não são gerados para cada operação de leitura e gravação de arquivo, mas são gerados uma vez por operação de metadados de arquivo, como quando um usuário cria, abre ou exclui um arquivo.

**Topics**
+ [Destinos dos logs de eventos de auditoria](#faa-log-destinations)
+ [Como migrar seus controles de auditoria](#migrate-faa)
+ [Como visualizar logs de eventos](#view-faa-logs)
+ [Como configurar os controles de auditoria de arquivos e pastas](faa-audit-controls.md)
+ [Como gerenciar a auditoria de acesso a arquivos](manage-faa.md)

## Destinos dos logs de eventos de auditoria
<a name="faa-log-destinations"></a>

Ao habilitar a auditoria de acesso a arquivos, você deve configurar um AWS serviço para o qual a Amazon FSx envia os registros de eventos de auditoria. Você pode enviar registros de eventos de auditoria para um stream de CloudWatch logs do Amazon Logs em um grupo de CloudWatch logs do Logs ou para um stream de entrega do Amazon Data Firehose. Você escolhe o destino dos registros de eventos de auditoria ao criar seu sistema de arquivos Amazon FSx para Windows File Server ou a qualquer momento ao atualizar um sistema de arquivos existente. Para obter mais informações, consulte [Como gerenciar a auditoria de acesso a arquivos](manage-faa.md).

Veja abaixo algumas recomendações que podem ajudar você a decidir qual destino dos logs de eventos de auditoria escolher: 
+ Escolha CloudWatch Logs se quiser armazenar, visualizar e pesquisar registros de eventos de auditoria no CloudWatch console da Amazon, executar consultas nos CloudWatch registros usando o Logs Insights e acionar CloudWatch alarmes ou funções Lambda.
+ Escolha o Amazon Data Firehose se quiser transmitir continuamente eventos para armazenamento no Amazon S3, para um banco de dados no Amazon Redshift, para o OpenSearch Amazon Service ou para soluções de parceiros, como Splunk ou Datadog, AWS para análises adicionais.

Por padrão, a Amazon FSx criará e usará um grupo padrão de CloudWatch registros de registros em sua conta como destino do registro de eventos de auditoria. Se você quiser usar um grupo de registros de CloudWatch registros personalizado ou usar o Firehose como destino do registro de eventos de auditoria, aqui estão os requisitos para os nomes e locais do destino do registro de eventos de auditoria:
+ O nome do grupo de CloudWatch registros de registros deve começar com o `/aws/fsx/` prefixo. Se você não tiver um grupo de CloudWatch registros de registros existente ao criar ou atualizar um sistema de arquivos no console, a Amazon FSx poderá criar e usar um fluxo de registros padrão no grupo de CloudWatch `/aws/fsx/windows` registros de registros. Se você não quiser usar o grupo de registros padrão, a interface de configuração permite criar um grupo de CloudWatch registros de registros ao criar ou atualizar seu sistema de arquivos no console.
+ O nome do fluxo de entrega do Firehose deve começar com o prefixo `aws-fsx-`. Caso não tenha um fluxo de entrega existente do Firehose, você poderá criar um ao criar ou atualizar seu sistema de arquivos no console.
+ O fluxo de entrega do Firehose deve ser configurado para usar `Direct PUT` como sua fonte. Você não pode usar um fluxo de dados existente do Kinesis como fonte de dados para seu fluxo de entrega.
+ O destino (o grupo de CloudWatch registros do Logs ou o stream de entrega do Firehose) deve estar na mesma AWS partição e Conta da AWS no sistema de FSx arquivos da Amazon. Região da AWS

Você pode alterar o destino do registro de eventos de auditoria a qualquer momento (por exemplo, de CloudWatch Logs para Firehose). Ao fazer isso, os novos logs de eventos de auditoria serão enviados somente para o novo destino.

### Entrega de máximo esforço de logs de eventos de auditoria
<a name="faa-log-delivery"></a>

Normalmente, os registros de logs de eventos de auditoria são entregues aos destinos em minutos, mas, às vezes, podem demorar um pouco. Em ocasiões muito raras, os registros de logs de eventos de auditoria podem ser perdidos. Se seu caso de uso exigir uma semântica específica (por exemplo, garantir que nenhum evento de auditoria seja perdido), recomendamos que você contabilize os eventos perdidos ao criar seus fluxos de trabalho. Você pode auditar eventos perdidos verificando a estrutura de arquivos e pastas em seu sistema de arquivos.

## Como migrar seus controles de auditoria
<a name="migrate-faa"></a>

Se você tiver controles de auditoria (SACLs) já configurados em seus dados de arquivos existentes, você pode criar um sistema de FSx arquivos da Amazon e migrar seus dados para seu novo sistema de arquivos. Recomendamos usar AWS DataSync para transferir dados e os associados SACLs ao seu sistema de FSx arquivos da Amazon. Como solução alternativa, você pode usar o Robocopy (Robust File Copy). Para obter mais informações, consulte [Migração do armazenamento de arquivos existente para a Amazon FSx](migrate-to-fsx.md).

## Como visualizar logs de eventos
<a name="view-faa-logs"></a>

Você pode visualizar os registros de eventos de auditoria depois FSx que a Amazon começar a emiti-los. Onde e como você visualiza os logs, depende do destino dos logs de eventos de auditoria: 
+ Você pode ver CloudWatch os registros de registros acessando o CloudWatch console e escolhendo o grupo de registros e o stream de registros para os quais seus registros de eventos de auditoria são enviados. Para obter mais informações, consulte [Exibir dados de log enviados para CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) no *Guia do usuário do Amazon CloudWatch Logs*. 

  Você pode usar o CloudWatch Logs Insights para pesquisar e analisar interativamente seus dados de registro. Para obter mais informações, consulte [Análise de dados de log com o CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), no *Guia do usuário do Amazon CloudWatch Logs*.

  Você também pode exportar logs de eventos de auditoria para o Amazon S3. Para obter mais informações, consulte [Exportação de dados de log para o Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) S3, também no Guia do usuário do * CloudWatch Amazon Logs*.
+ Você não pode visualizar os logs de eventos de auditoria no Firehose. No entanto, você pode configurar o Firehose para encaminhar os logs para um destino no qual você possa ler. Os destinos incluem Amazon S3, Amazon Redshift, OpenSearch Amazon Service e soluções de parceiros, como Splunk e Datadog. Para obter mais informações, [consulte Escolha](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html) o destino no Guia do desenvolvedor do *Amazon* Data Firehose.

### Campos de eventos de auditoria
<a name="faa-event-data"></a>

Esta seção fornece descrições das informações nos logs de eventos de auditoria e exemplos de eventos de auditoria.

A seguir, estão as descrições dos campos relevantes em um evento de auditoria do Windows.
+ **EventID** refere-se à ID de evento do log de eventos do Windows definida pela Microsoft. Consulte a documentação da Microsoft para obter informações sobre [eventos do sistema de arquivos](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system) e [eventos de compartilhamento de arquivos](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share).
+ **SubjectUserName**refere-se ao usuário que está realizando o acesso.
+ **ObjectName**refere-se ao arquivo, pasta ou compartilhamento de arquivos de destino que foi acessado.
+ **ShareName**está disponível para eventos gerados para acesso ao compartilhamento de arquivos. Por exemplo, o `EventID 5140` será gerado quando um objeto de compartilhamento de rede for acessado.
+ **IpAddress**refere-se ao cliente que iniciou o evento para eventos de compartilhamento de arquivos.
+ As **palavras-chave**, quando disponíveis, referem-se a se o acesso ao arquivo foi bem-sucedido ou falhou. Para acessos bem-sucedidos, o valor é `0x8020000000000000`. Para acessos malsucedidos, o valor é `0x8010000000000000`.
+ **TimeCreated SystemTime**refere-se à hora em que o evento foi gerado no sistema e exibido no formato <AAAA-MM-:mm:ss.s>Z. DDThh
+ **Computador** se refere ao nome DNS do sistema de arquivos Windows Remote PowerShell Endpoint e pode ser usado para identificar o sistema de arquivos.
+ **AccessMask**, quando disponível, refere-se ao tipo de acesso ao arquivo realizado (por exemplo, ReadData, WriteData).
+ **AccessList**refere-se ao acesso solicitado ou concedido a um objeto. Para obter detalhes, consulte a tabela abaixo e a documentação da Microsoft (conforme no [Evento 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656)).


| Tipo de acesso | Máscara de acesso | Valor | 
| --- | --- | --- | 
|  Ler dados ou listar diretório  |  0x1  |  %%4416  | 
|  Gravar dados ou adicionar arquivo  |  0x2  |  %%4417  | 
|  Anexar dados ou adicionar subdiretório  |  0x4  |  %%4418  | 
|  Ler atributos estendidos  |  0x8  |  %%4419  | 
|  Gravar atributos estendidos  |  0x10  |  %%4420  | 
|  Executar ou percorrer  |  0x20  |  %%4421  | 
|  Excluir filho  |  0x40  |  %%4422  | 
|  Ler atributos  |  0x80  |  %%4423  | 
|  Atributos de gravação  |  0x100  |  %%4424  | 
|  Delete  |  0x10000  |  %%1537  | 
|  Ler a ACL  |  0x20000  |  %%1538  | 
|  Gravar a ACL  |  0x40000  |  %%1539  | 
|  Gravar o proprietário  |  0x80000  |  %%1540  | 
|  Sincronizar  |  0x100000  |  %%1541  | 
|  Acessar a ACL de segurança  |  0x1000000  |  %%1542  | 

Veja abaixo alguns eventos importantes com exemplos. Observe que o XML é formatado para facilitar a leitura.

O **ID de evento 4660** será registrado quando um objeto for excluído.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>
```

O **ID de evento 4659** será registrado em uma solicitação para excluir um arquivo.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>
```

O **ID de evento 4663** será registrado quando uma operação específica for executada no objeto. O exemplo a seguir mostra a leitura de dados de um arquivo, que podem ser interpretados na `AccessList %%4416`.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>
```

O exemplo a seguir mostra write/append dados de um arquivo, que podem ser interpretados a partir de`AccessList %%4417`.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>
```

O **ID de evento 4656** indica que um acesso específico foi solicitado para um objeto. No exemplo a seguir, a solicitação de leitura foi iniciada para ObjectName “permtest” e foi uma tentativa malsucedida, conforme visto no valor de palavras-chave de`0x8010000000000000`.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>
```

O **ID de evento 4670** é registrado quando as permissões de um objeto são alteradas. O exemplo a seguir mostra que o usuário “admin” modificou a permissão em “permtest” para adicionar permissões ao SID ObjectName “S-1-5-21-658495921-4185342820-3824891517-1113". Consulte a documentação da Microsoft para obter mais informações sobre como interpretar as permissões.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>
```

O **ID de evento 5140** é registrado sempre que um compartilhamento de arquivo é acessado.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>
```

O **ID de evento 5145** é registrado quando o acesso é negado no nível do compartilhamento de arquivos. O exemplo a seguir mostra que o acesso a ShareName “demoshare01" foi negado.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>
```

Se você usar o CloudWatch Logs Insights para pesquisar seus dados de registro, poderá executar consultas nos campos de eventos, conforme mostrado nos exemplos a seguir:
+ Para consultar um ID de evento específico:

  ```
  fields @message
     | filter @message like /4660/
  ```
+ Para consultar todos os eventos que correspondem a um nome de arquivo específico:

  ```
  fields @message
     | filter @message like /event.txt/
  ```

 Para obter mais informações sobre a linguagem de consulta do CloudWatch Logs Insights, consulte [Análise de dados de log com o CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), no *Guia do usuário do Amazon CloudWatch Logs*.

# Como configurar os controles de auditoria de arquivos e pastas
<a name="faa-audit-controls"></a>

Você precisa definir controles de auditoria nos arquivos e pastas que você deseja auditar quanto a tentativas de acesso do usuário. Os controles de auditoria também são conhecidos como listas de controle de acesso do sistema NTFS (SACLs).

Você configura os controles de auditoria usando a interface GUI nativa do Windows ou programaticamente usando comandos do Windows. PowerShell Se a herança estiver habilitada, você normalmente precisará definir controles de auditoria somente nas pastas de nível superior nas quais deseja registrar os acessos.

## Como usar a GUI do Windows para definir o acesso de auditoria
<a name="faa-gui-interface"></a>

Para usar uma GUI para definir controles de auditoria em seus arquivos e pastas, use o Explorador de Arquivos do Windows. Em um determinado arquivo ou pasta, abra o Explorador de Arquivos do Windows e selecione a guia **Propriedades > Segurança > Avançado > Auditoria**.

O exemplo de controle de auditoria a seguir audita eventos com êxito de uma pasta. Uma entrada de logs de eventos do Windows será emitida sempre que esse identificador for aberto para leitura com êxito pelo usuário administrador. 

![\[\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/faa-audit-control-gui.png)




O campo **Tipo** indica quais ações você deseja auditar. Defina esse campo como **Com êxito** para tentativas de auditoria com êxito, como **Falha** para tentativas de auditoria com falha ou **Tudo** para tentativas de auditoria com êxito e com falha.

Para obter mais informações sobre os campos de entrada de auditoria, consulte [ Apply a basic audit policy on a file or folder](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder) na documentação da Microsoft.

## Usando PowerShell comandos para definir o acesso de auditoria
<a name="faa-powershell-commands"></a>

Você pode usar o comando `Set-Acl` do Microsoft Windows para definir a SACL de auditoria em qualquer arquivo ou pasta. Para obter informações sobre esse comando, consulte a documentação do [Set-Acl](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1) da Microsoft.

Veja a seguir um exemplo do uso de uma série de PowerShell comandos e variáveis para definir o acesso de auditoria para tentativas bem-sucedidas. Você pode adaptar esses comandos de exemplo para atender às necessidades do seu sistema de arquivos.

```
$path = "C:\Users\TestUser\Desktop\DemoTest\"

$ACL = Get-Acl $path

$ACL | Format-List

$AuditUser = "TESTDOMAIN\TestUser"

$AuditRules = "FullControl"

$InheritType = "ContainerInherit,ObjectInherit"

$AuditType = "Success"

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)

$ACL.SetAuditRule($AccessRule)

$ACL | Set-Acl $path

Get-Acl $path -Audit | Format-List
```

# Como gerenciar a auditoria de acesso a arquivos
<a name="manage-faa"></a>

Você pode ativar a auditoria de acesso a arquivos ao criar um novo sistema de arquivos Amazon FSx para Windows File Server. A auditoria de acesso a arquivos é desativada por padrão quando você cria um sistema de arquivos a partir do FSx console da Amazon.

Em sistemas de arquivos existentes que têm a auditoria de acesso a arquivos habilitada, você pode alterar as configurações de auditoria de acesso a arquivos, incluindo a alteração dos tipos de tentativa de acesso para acessos a arquivos e compartilhamentos de arquivos e o destino dos logs de eventos de auditoria. Você pode realizar essas tarefas usando o FSx console ou a AWS CLI API da Amazon.

**nota**  
A auditoria de acesso a arquivos é suportada somente nos sistemas de arquivos Amazon FSx para Windows File Server com uma capacidade de taxa de transferência de 32 MBps ou mais. Você não pode criar ou atualizar um sistema de arquivos com uma capacidade de transferência inferior a 32 MBps se a auditoria de acesso a arquivos estiver habilitada. Você pode modificar a capacidade de throughput a qualquer momento depois de criar o sistema de arquivos. Para obter mais informações, consulte [Como gerenciar a capacidade de throughput](managing-throughput-capacity.md).

## Habilitar a auditoria de acesso a arquivos ao criar um sistema de arquivos (console)
<a name="faa-create-modify-config"></a>

1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Siga o procedimento para a criação de um novo sistema de arquivos descrito na [Etapa 5. Criar seu sistema de arquivos](getting-started.md#getting-started-step1) na seção de Conceitos básicos. 

1. Abra a seção **Auditoria: opcional**. A auditoria de acesso a arquivos é desabilitada por padrão.  
![\[\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/faa-create-wizard.png)

1. Para habilitar e configurar a auditoria de acesso a arquivos, siga o procedimento a seguir.
   + Em **Registrar acesso a arquivos e pastas**, selecione o registro de tentativas and/or malsucedidas. O registro em log estará desabilitado para arquivos e pastas caso você não selecione.
   + Em **Registrar acesso aos compartilhamentos de arquivos**, selecione o registro de tentativas and/or malsucedidas. O registro em log estará desabilitado para compartilhamentos de arquivos, caso você não faça uma seleção.
   + Em **Escolher um destino de registro de eventos de auditoria**, escolha **CloudWatch Logs** ou **Firehose**. Em seguida, escolha um fluxo de logs ou fluxo de entrega existente ou crie um. Para CloudWatch registros, a Amazon FSx pode criar e usar um fluxo de registros padrão no grupo de CloudWatch `/aws/fsx/windows` registros de registros.

   Veja a seguir um exemplo de uma configuração de auditoria de acesso a arquivos que auditará tentativas de acesso com êxito e malsucedidas de usuários finais a arquivos, pastas e compartilhamentos de arquivos. Os registros de eventos de auditoria serão enviados para o destino padrão do grupo de CloudWatch `/aws/fsx/windows` registros de registros.  
![\[\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/faa-create-advanced.png)

1. Prossiga para a próxima seção do assistente de criação do sistema de arquivos.

Quando o sistema de arquivos está **Disponível**, o recurso de auditoria de acesso a arquivos está habilitado.

## Habilitar a auditoria de acesso a arquivos ao criar um sistema de arquivos (CLI)
<a name="w2aac31c20c35b9b3"></a>

1. Ao criar um novo sistema de arquivos, use a `AuditLogConfiguration` propriedade com a operação da [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html)API para habilitar a auditoria de acesso a arquivos para o novo sistema de arquivos.

   ```
   aws fsx create-file-system \
     --file-system-type WINDOWS \
     --storage-capacity 300 \
     --subnet-ids subnet-123456 \
     --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
   ```

1. Quando o sistema de arquivos está **Disponível**, o recurso de auditoria de acesso a arquivos está habilitado.

## Alterar a configuração de auditoria de acesso a arquivos (console)
<a name="w2aac31c20c35b9b5"></a>

1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Navegue até **Sistemas de arquivos**, e escolha o sistema de arquivos do Windows para o qual você deseja gerenciar a auditoria de acesso a arquivos.

1. Escolha a guia **Administração**.

1. No painel **Auditoria de acesso a arquivos**, escolha **Gerenciar**.  
![\[FSx console Painel de auditoria de acesso a arquivos, que mostra a configuração de auditoria de acesso a arquivos.\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/faa-admin-panel.png)

1. Na caixa de diálogo **Gerenciar configurações de auditoria de acesso a arquivos**, altere as configurações desejadas.  
![\[FSx console Painel de auditoria de acesso a arquivos, use esse painel para modificar as configurações de auditoria de acesso a arquivos.\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/faa-update-config.png)
   + Em **Registrar acesso a arquivos e pastas**, selecione o registro de tentativas and/or malsucedidas. O registro em log estará desabilitado para arquivos e pastas caso você não selecione.
   + Em **Registrar acesso aos compartilhamentos de arquivos**, selecione o registro de tentativas and/or malsucedidas. O registro em log estará desabilitado para compartilhamentos de arquivos, caso você não faça uma seleção.
   + Em **Escolher um destino de registro de eventos de auditoria**, escolha **CloudWatch Logs** ou **Firehose**. Em seguida, escolha um fluxo de logs ou fluxo de entrega existente ou crie um.

1. Escolha **Salvar**.

## Alterar a configuração de auditoria de acesso a arquivos (CLI)
<a name="w2aac31c20c35b9b7"></a>
+ Use o comando [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) da CLI ou a operação de API [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html) equivalente.

  ```
  aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
      FileShareAccessAuditLogLevel="FAILURE_ONLY", \
      AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
  ```