支援終止通知：2027 年 3 月 31 日， AWS 將終止對 Amazon WorkMail 的支援。2027 年 3 月 31 日之後，您將無法再存取 Amazon WorkMail 主控台或 Amazon WorkMail 資源。如需詳細資訊，請參閱 [Amazon WorkMail 終止支援](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 監控 Amazon WorkMail 稽核日誌
<a name="monitoring-audit-logging"></a>

您可以使用稽核日誌來監控對 Amazon WorkMail Organization 信箱的存取。Amazon WorkMail 會記錄五種類型的稽核事件，這些事件可以發佈到 CloudWatch Logs、Amazon S3 或 Amazon Firehouse。您可以使用稽核日誌來監控使用者與組織信箱的互動、身分驗證嘗試、存取控制規則評估，以及對外部系統執行可用性提供者呼叫，並使用個人存取字符監控事件。如需設定稽核記錄的相關資訊，請參閱 [啟用稽核記錄](audit-logging.md)。

下列各節說明 Amazon WorkMail 記錄的稽核事件、事件的傳輸時間，以及事件欄位的相關資訊。

## 信箱存取日誌
<a name="mailbox-log"></a>

信箱存取事件提供有關對哪個信箱物件採取 （或嘗試） 動作的資訊。您嘗試在信箱中的項目或資料夾上執行的每個操作都會產生信箱存取事件。這些事件對於稽核信箱資料的存取權很有用。


| 欄位 | Description | 
| --- | --- | 
| event\_timestamp | 當事件發生時，從 Unix epoch 開始，以毫秒為單位。 | 
| request\_id | 唯一識別請求的 ID。 | 
| organization\_arn | 已驗證使用者所屬之 & Amazon WorkMail Organization 的 ARN。 | 
| user\_id | 已驗證使用者的 ID。 | 
| impersonator\_id | 模擬者的 ID。只有在請求使用模擬功能時才會顯示。 | 
| protocol | 使用的通訊協定。通訊協定可以是：`AutoDiscover`、`EWS`、`IMAP`、`WindowsOutlook`、`ActiveSync`、`SMTP`、`IncomingEmail`、 `WebMail`或 `OutgoingEmail`。 | 
| source\_ip | 請求的來源 IP 位址。 | 
| user\_agent | 提出請求的使用者代理程式。 | 
| 動作 | 物件上採取的動作可以是：`read`、`read_hierarchy`、`read_summary`、`read_attachment`、`read_permissions``create`、、`update`、`update_permissions``update_read_state`、`delete`、、`submit_email_for_sending`、`abort_sending_email`、`move`、、`move_to`、`copy`、 或 `copy_to`。 | 
| owner\_id | 擁有所處理物件的使用者 ID。 | 
| object\_type | 物件類型，可以是：資料夾、訊息或附件。 | 
| item\_id | 唯一識別為事件主旨的訊息，或包含為事件主旨之附件的 ID。 | 
| 資料夾路徑 | 要執行動作的資料夾路徑，或包含要執行動作之項目的資料夾路徑。 | 
| folder\_id | 此 ID 可唯一識別作為事件主體的資料夾，或包含作為事件主體的物件。 | 
| attachment\_path | 受影響附件的顯示名稱路徑。 | 
| action\_allowed | 是否允許 動作。可以是 true 或 false。 | 

## 存取控制日誌
<a name="access-log"></a>

存取控制事件會在評估存取控制規則時產生。這些日誌適用於稽核禁止存取或偵錯存取控制組態。


| 欄位 | Description | 
| --- | --- | 
| event\_timestamp | 當事件發生時，從 Unix epoch 開始，以毫秒為單位。 | 
| request\_id | 唯一識別請求的 ID。 | 
| organization\_arn | 已驗證使用者所屬之 WorkMail Organization 的 ARN。 | 
| user\_id | 已驗證使用者的 ID。 | 
| impersonator\_id | 模擬者的 ID。只有在請求使用模擬功能時才會顯示。 | 
| protocol | 使用的通訊協定可以是：`AutoDiscover`、`EWS`、`IMAP`、`WindowsOutlook`、`ActiveSync``SMTP`、、`IncomingEmail`、 `WebMail`或 `OutgoingEmail`。 | 
| source\_ip | 請求的來源 IP 位址。 | 
| scope | 規則的範圍，可以是：`DeviceAccessControl`、 `AccessControl`或 `ImpersonationAccessControl`。 | 
| rule\_id | 相符存取控制規則的 ID。沒有相符的規則時，將無法使用 *rule\_id*。 | 
| access\_granted | 是否允許存取。可以是 true 或 false。 | 

## 身分驗證日誌
<a name="authentication-log"></a>

身分驗證事件包含身分驗證嘗試的相關資訊。

**注意**  
身分驗證事件不會透過 Amazon WorkMail WebMail 應用程式產生。


| 欄位 | Description | 
| --- | --- | 
| event\_timestamp | 當事件發生時，從 Unix epoch 開始，以毫秒為單位。 | 
| request\_id | 唯一識別請求的 ID。 | 
| organization\_arn | 已驗證使用者所屬之 WorkMail Organization 的 ARN。 | 
| user\_id | 已驗證使用者的 ID。 | 
| user | 嘗試進行身分驗證的使用者名稱。 | 
| protocol | 使用的通訊協定可以是：`AutoDiscover`、`EWS`、`IMAP`、`WindowsOutlook`、`ActiveSync``SMTP`、、`IncomingEmail`、 `WebMail`或 `OutgoingEmail`。 | 
| source\_ip | 請求的來源 IP 位址。 | 
| user\_agent | 提出請求的使用者代理程式。 | 
| 方法 | 驗證方法。目前僅支援基本 。 | 
| auth\_successful | 驗證嘗試是否成功。可以是 true 或 false。 | 
| auth\_failed\_reason | 驗證失敗的原因。只有在驗證失敗時才會顯示。 | 
| personal\_access\_token\_id | 用於身分驗證之個人存取字符的 ID。 | 

## 個人存取字符日誌
<a name="personal-access-token-log"></a>

每次嘗試建立或刪除個人存取字符時，都會產生個人存取字符 (PAT) 事件。個人存取字符事件提供有關使用者是否成功建立個人存取字符的資訊。個人存取字符日誌對於稽核建立和刪除自己的 PATs的最終使用者很有用。使用個人存取字符的使用者登入會在現有的身分驗證日誌中產生事件。如需詳細資訊，請參閱[身分驗證日誌。 ](https://docs.aws.amazon.com/workmail/latest/adminguide/monitoring-audit-logging.html#authentication-log)


| 欄位 | Description | 
| --- | --- | 
| event\_timestamp | 當事件發生時，從 Unix epoch 開始，以毫秒為單位。 | 
| request\_id | 唯一識別請求的 ID。 | 
| organization\_arn | 已驗證使用者所屬之 WorkMail Organization 的 ARN。 | 
| user\_id | 已驗證使用者的 ID。 | 
| user | 採取此動作之使用者的使用者名稱。 | 
| protocol | 透過 動作使用的通訊協定已發生，可以是：Webapp | 
| source\_ip | 請求的來源 IP 位址。 | 
| user\_agent | 提出請求的使用者代理程式。 | 
| 動作 | 個人存取字符的動作，可以是：建立或刪除。 | 
| name | 個人存取字符的名稱。 | 
| expires\_time | 個人存取字符過期的日期。 | 
| 範圍 | 信箱上個人存取字符許可的範圍。 | 

## 可用性提供者日誌
<a name="availability-log"></a>

每個 Amazon WorkMail 代表您向設定的可用性提供者提出的可用性請求都會產生可用性提供者事件。這些事件有助於偵錯您的可用性提供者組態。


| 欄位 | Description | 
| --- | --- | 
| event\_timestamp | 當事件發生時，從 Unix epoch 開始，以毫秒為單位。 | 
| request\_id | 唯一識別請求的 ID。 | 
| organization\_arn | 已驗證使用者所屬之 WorkMail Organization 的 ARN。 | 
| user\_id | 已驗證使用者的 ID。 | 
| type | 要叫用的可用性提供者類型，可以是： `EWS`或 `LAMBDA`。 | 
| domain | 取得可用性的網域。 | 
| function\_arn | 如果類型為 LAMBDA，則叫用 Lambda 的 ARN。否則，此欄位不存在。 | 
| ews\_endpoint | EWS 端點類型為 EWS。否則，此欄位不存在。 | 
| error\_message | 說明失敗原因的訊息。如果請求成功，則此欄位不存在。 | 
| availability\_event\_successful | 是否成功提供可用性請求。 |