Amazon WorkSpaces 安全瀏覽器的工作階段記錄器中的工作階段事件 - Amazon WorkSpaces 安全瀏覽器
工作階段記錄器指標

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon WorkSpaces 安全瀏覽器的工作階段記錄器中的工作階段事件

工作階段記錄器會擷取各種工作階段相關事件,以用於監控和稽核。

您可以設定工作階段記錄器,根據 WorkSpaces 安全瀏覽器入口網站的需求收集所有工作階段事件或選取的子集。如需組態的詳細資訊,請參閱 設定 Amazon WorkSpaces 安全瀏覽器的工作階段記錄器

為了維護使用者隱私權,工作階段記錄器不會記錄敏感內容,例如剪貼簿資料,或上傳或下載檔案的內容。

下列欄位包含在所有事件中:

  • Time (時間)

  • 使用者名稱

  • 入口網站 ID

  • 入口網站 IP

  • 用戶端 IP

  • 工作階段 ID

名稱 描述 事件中包含的其他欄位
SessionStart 已啟動安全瀏覽器工作階段,但使用者尚未連線。
SessionConnect 使用者已連線至安全瀏覽器工作階段。
TabOpen 在其安全瀏覽器工作階段中,使用者開啟了新標籤,或在新標籤中開啟了連結。 主機名稱、路徑、URL (如果使用者在新標籤中開啟連結)、無 (如果使用者開啟新標籤)
UrlVisit 在瀏覽器工作階段中,使用者導覽至 URL。 主機名稱、路徑、URL
WebsiteInteract 使用者變更了網站上的標準 HTML 元素 (例如,按一下核取方塊、選項按鈕或按鈕,或在下拉式清單中選取項目)。 主機名稱、路徑、URL
TabClose 在瀏覽器工作階段中,使用者已關閉索引標籤。 主機名稱、路徑、URL (如果使用者關閉導覽至的索引標籤)、無 (如果使用者關閉新索引標籤)
ContentTransferFromLocalToRemoteClipboard 使用者使用來自其本機瀏覽器 (安全環境之外) 的內容,在安全瀏覽器中更新剪貼簿。透過工作階段中工具列複製內容,或透過鍵盤快速鍵 (Ctrl+C/Ctrl+V) 傳輸資料,即可進行此更新。
ContentCopyFromWebsite 使用者使用來自安全瀏覽器 (在安全環境中) 的內容,在安全瀏覽器中更新剪貼簿。 主機名稱、路徑、URL
ContentPasteToWebsite 剪貼簿內容已貼入瀏覽器中的網頁。(此事件不會擷取剪貼簿內容貼入瀏覽器 URL 列的執行個體。) 主機名稱、路徑、URL
PrintJobSubmit 使用者將請求任務提交至瀏覽器的虛擬印表機 (「DCV 印表機」)。內容會在使用者的本機電腦上儲存為 PDF。 檔案名稱、大小、副檔名
FileDownloadFromSecureBrowserToRemoteDisk 檔案已從工作階段儲存至遠端執行個體的本機磁碟。 主機名稱、路徑、URLfilename、大小、延伸
FileTransferFromRemoteToLocalDisk 檔案已從遠端執行個體的磁碟下載到使用者的本機裝置。 檔案名稱、大小、副檔名
FileUploadFromRemoteDiskToSecureBrowser 存放在遠端執行個體本機磁碟上的檔案已透過瀏覽器工作階段上傳至檔案共用 SaaS 平台 (例如 Google Drive、Box 或 File.io)。
FileTransferFromLocalToRemoteDisk 檔案已從使用者裝置上傳到安全瀏覽器工作階段。 檔案名稱、大小和副檔名
SessionDisconnection 使用者與安全瀏覽器工作階段中斷連線。
SessionEnd 安全瀏覽器工作階段已終止。終止可以透過以下三種方式之一發生:管理員透過主控台中的使用者工作階段管理員結束工作階段、使用者使用工具列中的結束工作階段手動結束工作階段,或在超過管理員設定的持續時間之後工作階段逾時。

每個事件都遵循 OCSF 標準,並包含所有事件通用的屬性清單:


{
    activity_name : String | A human readable name of the event | eg. UrlLoad
    activity_id : Integer | OCSF standard value 99 for 'others'
    category_name : "WorkSpacesSecureBrowser" | The category name where the event belongs to.
    category_id : 2 | Numerical identifier for category,
    metadata : link | Required {
        product : link {
            vendor_name : "wsb",
            name : "WorkSpacesSecureBrowser"
        }
        version : String | Version of the schema | eg. 1.0.0
    },
    severity_id : 1 | The severity of the event. All events will have a severity of 1, meaning 'Informational',
    type_id : class_uid * 100 + activity_id
    time : The time the event happened (RFC3339 format),
    observables : link [
        {
            name : "session_detail.portal_id",
            type_id : 10 //Resource UID
            value : //Generated value
        },
        {
            name : "session_detail.session_id",
            type_id : 10 //Resource UID
            value : //Generated value
        },
        {
            name : "session_detail.client_ip",
            type_id : 2 //IP Address
            value : //Generated value
        },
        {
            name : "session_detail.portal_ip",
            type_id : 2 //IP Address
            value : //Generated value
        },
        {
            name : "session_detail.username",
            type_id : 10 //Resource UID
            value : //Generated value
        }
    ],
    
    // New Events
    session_detail : {
        portal_id : String | UUID of the Portal | eg. 1ebe42de-86bb-4073-88a4-34284bc5bcbb,
        session_id : String | SessionId of the user session | eg. 17be80fa-7bc2-4675-b17a-791243938cdf 
        client_ip : String | IP Address from which user LoggedIn From | eg. 31.65.180.9
        portal_ip : String | IP Address of the AWS AppStream Instance that is running the Portal | eg.240.62.100.169
        username : String | The logged-in username | eg. bobross
    }
}

以下是 URLVisit 事件的範例:


{
    activity_id : 99,
    activity_name : "URLVisit",
    ...
    observables : [
        ...
        {
            name : "url",
            type_id : 23 //Unified Resource Locator
        }
    ]
    ...
    url : {
        url_string : String | Full URL path,
        hostname : String | The hostname in the URL
        path : String | Path in the domain
    }
}

以下是 PrintJobSubmit 事件的範例:


{
    activity_id : 99,
    activity_name : "PrintJobSubmitted",
    observable : [
        ...
        {
            name : "file.name",
            type_id : 24 // File
        }
    ]
    ...
    file : {
        name : String | The file name,
        type_id : 1 //Regular file
        size : Long | Size in bytes
        ext : String | File extension
    }
}

Amazon WorkSpaces 安全瀏覽器的工作階段記錄器指標

Session Logger 會發出下列 Amazon CloudWatch 指標。

您可以使用 SessionLoggerEventDelivered 指標來監控入口網站的事件彙總數量,或是透過計算資料點的數量來查看已交付的日誌檔案數量,而不是加總值。我們建議在 SessionLoggerTargetNotFoundErrorSessionLoggerAccessDeniedError 指標上設定警示,以偵測意外的資源或許可刪除。

注意

每個工作階段每分鐘收集一次指標資料點,每 5 分鐘發佈 Amazon CloudWatch 一次。工作階段記錄器指標會針對每個日誌檔案交付立即發出。

工作階段記錄器指標
指標 描述 維度 統計資料 單位
SessionLoggerEventDelivered 每個交付的工作階段記錄器檔案擁有的事件數量。 【PortalId】 平均數、總和、上限、下限 計數
SessionLoggerTargetNotFoundError 找不到導致儲存貯體的日誌檔案交付數量。 【PortalId】 平均數、總和、上限、下限 計數
SessionLoggerAccessDeniedError 導致許可遭拒的日誌檔案交付數量。 【PortalId】 平均數、總和、上限、下限 計數