监控 Amazon WorkMail 审计日志
您可以使用审计日志来监控对 Amazon WorkMail 组织邮箱的访问情况。Amazon WorkMail 记录五种类型的审计事件,这些事件可发布到 CloudWatch Logs、Amazon S3 或 Amazon Firehouse。您可以使用审计日志来监控用户与组织邮箱的交互、身份验证尝试、访问控制规则评估、对外部系统执行可用性提供商调用,以及使用个人访问令牌监控事件。有关配置审计日志记录的信息,请参阅启用审计日志记录。
以下各节介绍 Amazon WorkMail 记录的审计事件、传输这些事件的时间以及有关事件字段的信息。
邮箱访问日志
邮箱访问事件提供有关对哪个邮箱对象采取(或尝试)了什么操作的信息。对于您尝试对邮箱中的项目或文件夹运行的每个操作,都会生成一个邮箱访问事件。这些事件对于审计对邮箱数据的访问非常有用。
| 字段 | 描述 |
|---|---|
|
event_timestamp |
事件发生的时间,以自 Unix 纪元以来的毫秒数表示。 |
|
request_id |
唯一标识请求的 ID。 |
|
organization_arn |
经过身份验证的用户所属的 Amazon WorkMail 组织的 ARN。 |
|
user_id |
经过身份验证的用户的 ID。 |
|
impersonator_id |
模拟者的 ID。仅当为请求使用了模拟功能时才显示。 |
|
protocol |
使用的协议。协议可以是: |
|
source_ip |
请求的源 IP 地址。 |
|
user_agent |
发出请求的用户代理。 |
|
action |
对对象执行的操作,可以是: |
|
owner_id |
用户的 ID,该用户拥有正在对其执行操作的对象。 |
|
object_type |
对象类型,可以是:文件夹、邮件或附件。 |
|
item_id |
用于唯一标识邮件的 ID,该邮件为事件的主题或包含作为事件主题的附件。 |
|
folder_path |
正在对其执行操作的文件夹的路径,或包含正在对其执行操作的项目的文件夹的路径。 |
|
folder_id |
用于唯一标识文件夹的 ID,该文件夹为事件的主题或包含作为事件主题的对象。 |
|
attachment_path |
受影响附件的显示名称路径。 |
|
action_allowed |
是否支持执行该操作。可以为 true 或 false。 |
访问控制日志
每当访问控制规则被评估时,就会生成访问控制事件。这些日志对于审计禁止的访问或调试访问控制配置很有用。
| 字段 | 描述 |
|---|---|
|
event_timestamp |
事件发生的时间,以自 Unix 纪元以来的毫秒数表示。 |
|
request_id |
唯一标识请求的 ID。 |
|
organization_arn |
经过身份验证的用户所属的 WorkMail 组织的 ARN。 |
|
user_id |
经过身份验证的用户的 ID。 |
|
impersonator_id |
模拟者的 ID。仅当为请求使用了模拟功能时才显示。 |
|
protocol |
使用的协议,可以是: |
|
source_ip |
请求的源 IP 地址。 |
|
scope |
规则的范围,可以是: |
|
rule_id |
匹配的访问控制规则的 ID。当没有匹配的规则时,rule_id 不可用。 |
|
access_granted |
是否支持访问。可以为 true 或 false。 |
身份验证日志
身份验证事件包含有关身份验证尝试的信息。
注意
不会通过 Amazon WorkMail WebMail 应用程序为身份验证事件生成身份验证事件。
| 字段 | 描述 |
|---|---|
|
event_timestamp |
事件发生的时间,以自 Unix 纪元以来的毫秒数表示。 |
|
request_id |
唯一标识请求的 ID。 |
|
organization_arn |
经过身份验证的用户所属的 WorkMail 组织的 ARN。 |
|
user_id |
经过身份验证的用户的 ID。 |
|
用户 |
尝试进行身份验证时使用的用户名。 |
|
protocol |
使用的协议,可以是: |
|
source_ip |
请求的源 IP 地址。 |
|
user_agent |
发出请求的用户代理。 |
|
方法 |
身份验证方法。目前仅支持基本身份验证。 |
|
auth_successful |
身份验证尝试是否成功。可以为 true 或 false。 |
|
auth_failed_reason |
身份验证失败的原因。仅在身份验证失败时才会出现。 |
personal_access_token_id |
用于身份验证的个人访问令牌的 ID。 |
个人访问令牌日志
对于每次尝试创建或删除个人访问令牌,都会生成个人访问令牌(PAT)事件。个人访问令牌事件提供有关用户是否成功创建个人访问令牌的信息。个人访问令牌日志对于审计最终用户创建和删除其自己的 PAT 非常有用。用户使用个人访问令牌登录将在现有身份验证日志中生成事件。有关更多信息,请参阅身份验证日志。
| 字段 | 描述 |
|---|---|
|
event_timestamp |
事件发生的时间,以自 Unix 纪元以来的毫秒数表示。 |
|
request_id |
唯一标识请求的 ID。 |
|
organization_arn |
经过身份验证的用户所属的 WorkMail 组织的 ARN。 |
|
user_id |
经过身份验证的用户的 ID。 |
|
用户 |
执行该操作的用户的用户名。 |
|
protocol |
执行该操作所使用的协议,可以是:webapp |
|
source_ip |
请求的源 IP 地址。 |
|
user_agent |
发出请求的用户代理。 |
|
action |
个人访问令牌的操作,可以是:创建或删除。 |
|
名称 |
个人访问令牌的名称。 |
|
expires_time |
个人访问令牌到期的日期。 |
|
范围 |
针对邮箱的个人访问令牌权限的范围。 |
可用性提供商日志
对于 Amazon WorkMail 代表您向所配置的可用性提供商发出的每个可用性请求,都会生成可用性提供商事件。这些事件对于调试可用性提供商配置很有用。
| 字段 | 描述 |
|---|---|
|
event_timestamp |
事件发生的时间,以自 Unix 纪元以来的毫秒数表示。 |
|
request_id |
唯一标识请求的 ID。 |
|
organization_arn |
经过身份验证的用户所属的 WorkMail 组织的 ARN。 |
|
user_id |
经过身份验证的用户的 ID。 |
|
type |
正在调用的可用性提供商的类型,可以是: |
|
域 |
可用性信息已获取的域。 |
|
function_arn |
如果类型为 LAMBDA,则为调用的 Lambda 的 ARN。否则,将不显示该字段。 |
|
ews_endpoint |
EWS 端点的类型为 EWS。否则,将不显示该字段。 |
|
error_message |
描述失败原因的消息。如果请求成功,则不显示该字段。 |
|
availability_event_successful |
是否成功处理了可用性请求。 |
