As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Monitoramento dos registros WorkMail de auditoria da Amazon
Você pode usar registros de auditoria para monitorar o acesso às caixas de correio da sua WorkMail organização Amazon. A Amazon WorkMail registra cinco tipos de eventos de auditoria e esses eventos podem ser publicados no CloudWatch Logs, no Amazon S3 ou no Amazon Firehouse. Você pode usar logs de auditoria para monitorar a interação do usuário com as caixas de correio da sua organização, as tentativas de autenticação, a avaliação das regras de controle de acesso e realizar chamadas do provedor de disponibilidade para sistemas externos e monitorar eventos com tokens de acesso pessoais. Para obter informações sobre como configurar o registro de auditoria, consulte Habilitar o registro em log de auditoria.
As seções a seguir descrevem os eventos de auditoria registrados pela Amazon WorkMail, quando os eventos são transmitidos e as informações sobre os campos do evento.
Logs de acesso à caixa de correio
Os eventos de acesso à caixa de correio fornecem informações sobre qual ação foi tomada (ou tentada) em qual objeto da caixa de correio. Um evento de acesso à caixa de correio é gerado para cada operação que você tenta executar em um item ou pasta em uma caixa de correio. Esses eventos são úteis para auditar o acesso aos dados da caixa de correio.
| Campo | Description |
|---|---|
|
event_timestamp |
Quando o evento aconteceu, em milissegundos desde a época do Unix. |
|
request_id |
O ID que identifica exclusivamente a solicitação. |
|
organization_arn |
O ARN da & Amazon WorkMail Organization à qual o usuário autenticado pertence. |
|
user_id |
O ID do usuário autenticado. |
|
id_imitador |
O ID do imitador. Presente somente se o recurso de representação tiver sido usado para a solicitação. |
|
protocolo |
O protocolo usado. O protocolo pode ser: |
|
source_ip |
O endereço IP de origem da solicitação. |
|
user_agent |
O agente do usuário que fez a solicitação |
|
action |
A ação realizada no objeto, que pode ser: |
|
owner_id |
O ID do usuário proprietário do objeto que está sendo usado. |
|
object_type |
O tipo de objeto, que pode ser: Pasta, Mensagem ou Anexo. |
|
item_id |
O ID que identifica de forma exclusiva a mensagem que é o assunto do evento ou que contém o anexo que é o assunto do evento. |
|
folder_path |
O caminho da pasta que está sendo acionada ou o caminho da pasta que contém o item que está sendo acionado. |
|
id_da_pasta |
Para identificar exclusivamente a pasta que é o objeto do evento ou que contém o objeto que é o sujeito do evento. |
|
caminho_de_anexo |
O caminho dos nomes de exibição até o anexo afetado. |
|
ação_permitida |
Se a ação foi permitida. Pode ser verdadeiro ou falso. |
Logs de controle de acesso
Os eventos de controle de acesso são gerados sempre que uma regra de controle de acesso é avaliada. Esses logs são úteis para auditar acessos proibidos ou depurar configurações de controle de acesso.
| Campo | Description |
|---|---|
|
event_timestamp |
Quando o evento aconteceu, em milissegundos desde a época do Unix. |
|
request_id |
O ID que identifica exclusivamente a solicitação. |
|
organization_arn |
O ARN da WorkMail organização à qual o usuário autenticado pertence. |
|
user_id |
O ID do usuário autenticado. |
|
id_imitador |
O ID do imitador. Presente somente se o recurso de representação tiver sido usado para a solicitação. |
|
protocolo |
O protocolo usado, que pode ser: |
|
source_ip |
O endereço IP de origem da solicitação. |
|
scope |
O escopo da regra, que pode ser: |
|
id_de_regra |
A ID da regra de controle de acesso correspondente. Quando não há regras correspondentes, rule_id não está disponível. |
|
acesso_concedido |
Se o acesso foi permitido. Pode ser verdadeiro ou falso. |
Registro de autenticação
Os eventos de autenticação contêm informações sobre tentativas de autenticação.
nota
Os eventos de autenticação não são gerados para eventos de autenticação por meio do WorkMail WebMail aplicativo Amazon.
| Campo | Description |
|---|---|
|
event_timestamp |
Quando o evento aconteceu, em milissegundos desde a época do Unix. |
|
request_id |
O ID que identifica exclusivamente a solicitação. |
|
organization_arn |
O ARN da WorkMail organização à qual o usuário autenticado pertence. |
|
user_id |
O ID do usuário autenticado. |
|
usuário |
O nome de usuário com o qual a autenticação foi tentada. |
|
protocolo |
O protocolo usado, que pode ser: |
|
source_ip |
O endereço IP de origem da solicitação. |
|
user_agent |
O agente do usuário que fez a solicitação |
|
method |
O método de autenticação. No momento, só há compatibilidade básica. |
|
autentificação_bem-sucedida |
Se a tentativa de autenticação foi bem-sucedida. Pode ser verdadeiro ou falso. |
|
razão_falha_auth |
A razão da falha de autenticação. Presente somente se a autenticação falhar. |
id_do_token de acesso pessoal |
O ID do token de acesso pessoal usado para autenticação. |
Registros de tokens de acesso pessoal
Um evento de token de acesso pessoal (PAT) é gerado para cada tentativa de criar ou excluir um token de acesso pessoal. Os eventos de token de acesso pessoal fornecem informações sobre se os usuários criaram tokens de acesso pessoal com sucesso. Os registros do token de acesso pessoal são úteis para auditar os usuários finais, criando e excluindo seus próprios registros. PATs O login do usuário com tokens de acesso pessoal gerará eventos nos registros de autenticação existentes. Para obter mais informações, consulte Registros de autenticação.
| Campo | Description |
|---|---|
|
event_timestamp |
Quando o evento aconteceu, em milissegundos desde a época do Unix. |
|
request_id |
O ID que identifica exclusivamente a solicitação. |
|
organization_arn |
O ARN da WorkMail organização à qual o usuário autenticado pertence. |
|
user_id |
O ID do usuário autenticado. |
|
usuário |
O nome de usuário do usuário que realizou essa ação. |
|
protocolo |
Ocorreu o protocolo utilizado por meio da ação, que pode ser: webapp |
|
source_ip |
O endereço IP de origem da solicitação. |
|
user_agent |
O agente do usuário que fez a solicitação |
|
action |
A ação do token de acesso pessoal, que pode ser: criar ou excluir. |
|
name |
O nome do token de acesso pessoal |
|
prazo_de_expiração |
A data em que o token de acesso pessoal expira. |
|
escopos |
Os escopos das permissões do token de acesso pessoal na caixa de correio. |
Logs do provedor de disponibilidade
Os eventos do provedor de disponibilidade são gerados para cada solicitação de disponibilidade WorkMail que a Amazon faz em seu nome ao seu provedor de disponibilidade configurado. Esses eventos são úteis para depurar a configuração do provedor de disponibilidade.
| Campo | Description |
|---|---|
|
event_timestamp |
Quando o evento aconteceu, em milissegundos desde a época do Unix. |
|
request_id |
O ID que identifica exclusivamente a solicitação. |
|
organization_arn |
O ARN da WorkMail organização à qual o usuário autenticado pertence. |
|
user_id |
O ID do usuário autenticado. |
|
type |
O tipo de provedor de disponibilidade que está sendo invocado, que pode ser: |
|
domínio |
O domínio para o qual a disponibilidade é obtida. |
|
function_arn |
O ARN do Lambda invocado, se o tipo for LAMBDA. Caso contrário, esse campo não estará presente. |
|
ews_endpoint |
O endpoint do EWS é do tipo EWS. Caso contrário, esse campo não estará presente. |
|
error_message |
A mensagem que descreve a causa da falha. Se a solicitação for concluída com êxito, esse campo não estará presente. |
|
evento_de_disponibilidade bem-sucedido |
Se a solicitação de disponibilidade foi atendida com sucesso. |
