本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理文件访问审计
<a name="manage-faa"></a>

在创建新的 Amazon FSx for Windows 文件服务器文件系统时，您可以启用文件访问审计。当您通过 Amazon FSx 控制台创建文件系统时，文件访问审计默认处于关闭状态。

在启用了文件访问审计的现有文件系统上，您可以更改文件访问审计设置，包括更改文件和文件共享访问的访问尝试类型以及审计事件日志目标。您可以使用 Amazon FSx 控制台或 API 执行这些任务。 AWS CLI

**注意**  
只有吞吐量为 32 MBps 或更大 FSx 的 Windows 文件服务器文件系统的 Amazon 支持文件访问审计。 MBps 如果启用了文件访问审计，则无法创建或更新吞吐量小于 32 的文件系统。创建文件系统后，您可以随时修改吞吐能力。有关更多信息，请参阅 [管理吞吐能力](managing-throughput-capacity.md)。

## 创建文件系统时启用文件访问审计（控制台）
<a name="faa-create-modify-config"></a>

1. 打开亚马逊 FSx 控制台，网址为[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)。

1. 按照“入门”部分的[步骤 5。创建文件系统](getting-started.md#getting-started-step1)中所述的步骤创建新文件系统。

1. 打开**审核 – 可选**部分。默认情况下，文件访问审计处于禁用状态。  
![\[\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/faa-create-wizard.png)

1. 要启用和配置文件访问审计，请执行以下操作。
   + 在 “**记录对文件和文件夹的访问权限**” 中，选择记录成功 and/or 失败的尝试。如果未做出选择，则会禁用文件和文件夹的日志记录。
   + **要记录对文件共享的访问权限**，请选择记录成功 and/or 失败的尝试。如果未做出选择，则会禁用文件共享的日志记录。
   + **在 “选择审核事件日志目标**” 中，选择 “**CloudWatch 日志**” 或 “**Fire** hose”。然后选择现有日志或传输流，或者创建新的日志或传输流。对于 CloudWatch 日志，Amazon FSx 可以在日志组中创建和使用默认 CloudWatch `/aws/fsx/windows`日志流。

   以下是文件访问审计配置的示例，该配置将审核最终用户成功和失败的文件、文件夹和文件共享访问尝试。审核事件日志将发送到默认的 CloudWatch 日志`/aws/fsx/windows`日志组目标。  
![\[\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/faa-create-advanced.png)

1. 继续执行文件系统创建向导的下一部分。

当文件系统处于**可用**状态时，将启用文件访问审计功能。

## 在创建文件系统时启用文件访问审计（CLI）
<a name="w2aac31c20c35b9b3"></a>

1. 创建新文件系统时，请将`AuditLogConfiguration`属性与 [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html)API 操作配合使用，为新文件系统启用文件访问审计。

   ```
   aws fsx create-file-system \
     --file-system-type WINDOWS \
     --storage-capacity 300 \
     --subnet-ids subnet-123456 \
     --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
   ```

1. 当文件系统处于**可用**状态时，将启用文件访问审计功能。

## 更改文件访问审计配置（控制台）
<a name="w2aac31c20c35b9b5"></a>

1. 打开亚马逊 FSx 控制台，网址为[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)。

1. 导航到**文件系统**，然后选择要管理文件访问审计的 Windows 文件系统。

1. 选择**管理**选项卡。

1. 在**文件访问审计**面板上，选择**管理**。  
![\[FSx console 文件访问审计面板，显示文件访问审计配置。\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/faa-admin-panel.png)

1. 在**管理文件访问审计设置**对话框中，更改所需的设置。  
![\[FSx console 文件访问审计面板，使用此面板修改文件访问审计配置。\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/faa-update-config.png)
   + 在 “**记录对文件和文件夹的访问权限**” 中，选择记录成功 and/or 失败的尝试。如果未做出选择，则会禁用文件和文件夹的日志记录。
   + **要记录对文件共享的访问权限**，请选择记录成功 and/or 失败的尝试。如果未做出选择，则会禁用文件共享的日志记录。
   + **在 “选择审核事件日志目标**” 中，选择 “**CloudWatch 日志**” 或 “**Fire** hose”。然后选择现有日志或传输流，或者创建新的日志或传输流。

1. 选择**保存**。

## 更改文件访问审计配置（CLI）
<a name="w2aac31c20c35b9b7"></a>
+ 使用 [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) CLI 命令或等效 [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html) API 操作。

  ```
  aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
      FileShareAccessAuditLogLevel="FAILURE_ONLY", \
      AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
  ```