本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Amazon WorkSpaces 安全瀏覽器的工作階段記錄器
<a name="session-logger"></a>

**警告**  
啟用工作階段記錄器會停用下列 Chrome 功能：  
Incognito 模式
開發人員工具
Chrome 設定檔切換

若要啟用 WorkSpaces 安全瀏覽器入口網站的工作階段記錄器，您必須先識別要收集工作階段事件的 Amazon S3 儲存貯體。您可以使用已存放類似日誌的現有儲存貯體，或專門為此目的建立新的日誌。

Amazon S3 儲存貯體必須有儲存貯體政策，授予 WorkSpaces 安全瀏覽器寫入日誌的許可。我們建議您將 Amazon S3 儲存貯體放在與 WorkSpaces 安全瀏覽器入口網站相同的 AWS 帳戶 和 區域。

Amazon S3 儲存貯體沒有命名需求。若要建立新的儲存貯體，請依照下列步驟操作，或參閱《*Amazon Simple Storage Service 使用者指南*》中的[建立一般用途儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。如需設定許可的指引，請參閱《[Amazon Simple Storage Service 使用者指南》中的 Amazon S3 儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)。 **

以下是 Amazon S3 儲存貯體的政策範例。請務必使用 Amazon S3 儲存貯體的名稱更新政策。請注意，委託人是 "workspaces-web.amazonaws.com"。

```
  {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSessionLogger",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces-web.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::{{bucket-name}}/*"
            ]
        }
    ]
 }
```

在 WorkSpaces 安全瀏覽器入口網站上啟用工作階段記錄器可能會導致 Amazon S3 產生費用。如需詳細資訊，請參閱 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)。

如需工作階段記錄器擷取之工作階段相關事件的詳細資訊，請參閱 [Amazon WorkSpaces 安全瀏覽器的工作階段記錄器中的工作階段事件](session-events-session-logger.md)。

## 具有 KMS 加密的 S3 儲存貯體 （選用）
<a name="s3-buckets-kms"></a>

WorkSpaces 安全瀏覽器工作階段記錄器完全支援啟用 AWS KMS 加密的 Amazon S3 儲存貯體。為了確保您的加密 Amazon S3 儲存貯體具有適當的記錄功能，您必須授予工作階段記錄器使用 AWS KMS 金鑰的必要許可。

將下列政策新增至您的 AWS KMS 金鑰組態：

```
{
  "Sid": "Session Logger",
  "Effect": "Allow",
  "Principal": {
    "Service": "workspaces-web.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:GenerateDataKey*"
  ],
  "Resource": "*"
},
```

在 AWS 主控台中，選取您要從中收集事件的 WorkSpaces 安全瀏覽器入口網站，然後選擇**工作階段記錄器**索引標籤和**編輯**。

輸入下列資訊以設定入口網站的工作階段記錄器：
+ **S3 位置 （必要）**：交付事件的 Amazon S3 儲存貯體名稱。
+ **金鑰字首 （選用）**：交付事件的資料夾。如果資料夾不存在，則會建立資料夾。如果欄位保留空白，工作階段記錄器會在 Amazon S3 儲存貯體的根目錄寫入事件。

在**進階**下，您可以設定下列欄位：
+ **事件篩選條件**：這是工作階段記錄器監控的事件清單。
  + **全部**：選取此選項表示將監控所有目前和未來的事件
  + **包含**：這可讓您手動選取要監控的特定事件。只會記錄明確選取的事件。除非手動將新事件新增至選取項目，否則未來更新中引入的新事件將不會受到監控。
+ **檔案格式**
  + **JSON （預設）**：這是將每個日誌檔案顯示為事件陣列的檔案格式。對於大多數使用案例，我們建議使用此格式。
  + **JSONLines**：這是針對 Amazon Athena 最佳化的檔案格式。
+ **資料夾結構**：這會決定日誌檔案的儲存方式。
  + **一般 （預設）**：所有日誌檔案都在單一資料夾中。
  + **巢狀依據日期**：日誌檔案會依日期和時間組織成資料夾。針對 Amazon Athena 進行分割，並針對 Amazon Athena 查詢進行最佳化。

您可以測試工作階段記錄器設定，並確保工作階段記錄器正常運作。組態完成後，系統會嘗試將名為 的測試檔案寫入指定的 Amazon S3 `_workspaces_secure_browser.tmp `儲存貯體和資料夾。這可做為記錄功能和許可設定的驗證。

您也可以在入口網站中啟動安全瀏覽器工作階段，並像平常一樣使用瀏覽器，以執行測試工作階段。工作階段記錄器會在作用中工作階段期間或工作階段結束時，每 15 分鐘將日誌檔案寫入您設定的 Amazon S3 儲存貯體。

結束工作階段或等待下一個記錄間隔後，請檢查 Amazon S3 儲存貯體，確認工作階段的日誌檔案已如預期產生並儲存。