本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
文件访问审核
适用于 Windows 文件服务器的 Amazon FSX 支持审核最终用户对文件、文件夹和文件共享的访问。您可以选择将审核事件日志发送到一组丰富的其他Amazon服务支持查询、处理、存储和归档日志、发出通知和触发操作,以进一步推进您的安全性和合规性目标。
文件访问审核概述
通过文件访问审核,您可以根据定义的审计控件记录最终用户对单个文件、文件夹和文件共享的访问。审核控制也称为 NTFS 系统访问控制列表 (SACL)。如果您已经对现有文件数据设置了审计控制,则可以通过创建新的 Amazon FSX 适用于 Windows 文件服务器文件系统并迁移您的数据来利用文件访问审核。
Amazon FSX 支持 Windows 为文件、文件夹和文件共享访问提供的以下审核事件:
-
对于文件访问,它支持:全部、遍历文件夹/执行文件、列表文件夹/读取数据、读取属性、创建文件/写入数据、创建文件夹/附加数据、写入属性、删除子文件夹和文件、删除、读取权限、更改权限和取得所有权。
-
对于文件共享访问,它支持:Connect 到、创建、修改和删除文件共享。
跨文件、文件夹和文件共享访问,Amazon FSX 支持对成功尝试(例如,具有足够权限的用户成功访问文件或文件共享)、失败的尝试或两者进行记录。
您可以配置是仅对文件和文件夹进行访问审核,还是仅对文件共享进行访问审核,还是同时对两者进行访问 您还可以配置应记录哪些类型的访问(仅限成功尝试、仅失败尝试或两者)。您也可以随时关闭文件访问审核。
支持的最大访问审核事件速率为每秒 5,000 个事件。访问审核事件不会为每个文件读取和写入操作生成,而是每个文件元数据操作生成一次,例如当用户创建、打开或删除文件时。
审核事件日志目标
启用后,文件访问审核功能必须具有已配置Amazon服务,Amazon FSX 将审核事件日志发送到该服务。此审核事件日志目标必须是 CloudWatch Logs 组中的 Amazon CloudWatch 日志日志流,也必须是 Amazon Kinesis Data Firehose 传输流。您可以在创建适用于 Windows 文件服务器的 Amazon FSX 文件系统时选择审核事件日志目标,也可以在之后通过更新它来选择审核事件日志目标。有关更多信息,请参阅 管理文件访问审核。
以下是一些建议,可帮助您确定要选择哪个审计事件日志目标:
-
如果您希望在 Amazon CloudWatch Logs 控制台中存储、查看和搜索审核事件日志,使用 CloudWatch 日志见解对日志运行查询,并触发 CloudWatch 警报或 Lambda 功能,请选择 CloudWatch 日志。
-
如果您希望将事件连续流式传输到 Amazon S3 中的存储、Amazon Redshift 中的 Kinesis Data Firehose 库、Amazon Elasticsearch Service 或Amazon合作伙伴解决方案(如 Splunk 或 Datadog)进行进一步分析。
默认情况下,Amazon FSX 将在您的账户中创建并使用默认的 CloudWatch Logs 组作为审核事件日志目标。如果要使用自定义 CloudWatch Logs 日志组或使用 Kinesis Data Firehose 作为审核事件日志目标,以下是审核事件日志目标的名称和位置的要求:
-
CloudWatch Logs 日志组的名称必须以
/aws/fsx/prefix. 如果您在控制台上创建或更新文件系统时没有现有的 CloudWatch Logs 组,Amazon FSX 可以在 CloudWatch 日志中创建和使用默认日志流/aws/fsx/windows日志组。如果您不想使用默认日志组,配置 UI 允许您在控制台上创建或更新文件系统时创建 CloudWatch Logs 日志组。 -
Kinesis Data Firehose 传输流的名称必须以
aws-fsx-prefix. 如果您没有现有的 Kinesis Data Firehose 交付流,则可以在控制台创建或更新文件系统时创建一个流。 -
目标(CloudWatch Logs 日志组或 Kinesis Data Firehose 传输流)必须位于相同的Amazon分区, Amazon Web Services 区域 , 和 Amazon Web Services 账户 作为您的亚马逊 FSX 文件系统。
您可以随时更改审计事件日志目标(例如,从 CloudWatch Logs 到 Kinesis Data Firehose)。执行此操作时,新的审核事件日志将仅发送到新目标。
尽最大努力审核事件日志传递
通常,审计事件日志记录在几分钟内提供,但有时可能需要更长的时间。极少数情况下,审核事件日志记录可能遗漏。如果您的使用案例需要特定的语义(例如,确保不遗漏审核事件),建议您在设计工作流时对遗漏事件加以说明。您可以通过扫描文件系统上的文件和文件夹结构审核遗漏的事件。
审核对文件和文件夹的访问权限
您需要对要审核用户访问尝试的文件和文件夹设置审核控制。审核控制也称为 NTFS 系统访问控制列表 (SACL)。
您可以使用 Windows 本机 GUI 界面或使用 Windows PowerShell 命令以编程方式配置审核控件。如果启用了继承,则通常只需在要记录访问权限的顶级文件夹上设置审核控制。
使用 Windows 图形用户界面设置审核访问
若要使用 GUI 设置文件和文件夹的审核控件,请使用 Windows 文件资源管理器。在给定的文件或文件夹上,打开 Windows 文件资源管理器,然后选择属性 > 安全性 > 高级 > 审计选项卡。
以下审计控制示例审核文件夹的成功事件。只要打开该句柄以供管理员用户成功读取,Windows 事件日志条目将被发出。
这些区域有:类型字段指示要审核的操作。将此字段设置为成功审核成功的尝试,Fail审核失败的尝试,或全部以审核成功尝试和失败的尝试。
有关审核条目字段的更多信息,请参阅对文件或文件夹应用基本审计策略
使用 PowerShell 命令设置审核访问
您可以使用 Microsoft WindowsSet-Acl命令在任何文件或文件夹上设置审核 SACL。有关此命令的信息,请参阅 Microsoft集合 ACL
以下是使用一系列 PowerShell 命令和变量为成功尝试设置审核访问权限的示例。您可以调整这些示例命令以适应文件系统的需求。
$path = "C:\Users\TestUser\Desktop\DemoTest\" $ACL = Get-Acl $path $ACL | Format-List $AuditUser = "TESTDOMAIN\TestUser" $AuditRules = "FullControl" $InheritType = "ContainerInherit,ObjectInherit" $AuditType = "Success" $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType) $ACL.SetAuditRule($AccessRule) $ACL | Set-Acl $path Get-Acl $path -Audit | Format-List
管理文件访问审核
您可以在为 Windows File Server 文件系统创建新的 Amazon FSx 文件系统时启用文件访问审核。当您从 Amazon FSX 控制台创建文件系统时,默认情况下,文件访问审核处于关闭状态。
在启用了文件访问审核的现有文件系统上,您可以更改文件访问审核设置,包括更改文件和文件共享访问的访问尝试类型以及审核事件日志目标。您可以使用 Amazon FSx 控制台执行这些任务,Amazon CLI或 API。
仅在 Amazon FSX 上支持文件访问审核,适用于吞吐容量为 32 MB/s 或更高的 Windows 文件服务器文件系统。如果启用了文件访问审核,则无法创建或更新吞吐容量小于 32 MB/s 的文件系统。创建文件系统后,您可以随时修改吞吐量容量。有关更多信息,请参阅 管理吞吐量容量。
-
从打开 Amazon FSx 控制台https://console.aws.amazon.com/fsx/
。 -
按照创建新文件系统的过程,请参阅第 1 步:创建您的文件系统在 “入门” 一节中。
-
打开审核-可选部分。默认情况下禁用文件访问审核。
-
要启用和配置文件访问审核,请执行以下操作。
-
适用于记录对文件和文件夹的访问权限下,选择成功和/或失败尝试的日志记录。如果您没有进行选择,则对文件和文件夹禁用日志记录。
-
适用于记录对文件共享的访问下,选择成功和/或失败尝试的日志记录。如果您没有进行选择,则会禁用文件共享的日志记录。
-
适用于选择审计事件日志目标中,选择CloudWatch Logs (CloudWatch 日志)或者Kinesis Data Firehose。然后选择现有日志流或传输流或创建新的日志流。对于 CloudWatch Logs,亚马逊 FSX 可以在 CloudWatch Logs 中创建和使用默认日志流
/aws/fsx/windows日志组。
以下是一个文件访问审核配置示例,该配置将审核最终用户对文件、文件夹和文件共享的访问尝试成功和失败的访问尝试。审核事件日志将被发送到默认的 CloudWatch Logs
/aws/fsx/windows日志组目标。
-
-
继续执行文件系统创建向导的下一部分。
当文件系统Available时,将启用文件访问审核功能。
-
创建新的文件系统时,使用审计日志配置属性CreateFileSystemAPI 操作,为新文件系统启用文件访问审核。
aws fsx create-file-system \ --file-system-type WINDOWS \ --storage-capacity 300 \ --subnet-ids subnet-123456 \ --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \ FileShareAccessAuditing="SUCCESS_AND_FAILURE", \ AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}' -
当文件系统Available时,将启用文件访问审核功能。
-
从打开 Amazon FSx 控制台https://console.aws.amazon.com/fsx/
。 -
导航到文件系统,然后选择要管理其文件访问审核的 Windows 文件系统。
-
选择管理选项卡。
-
在存储库的文件访问审核面板中,选择Manage。
-
在存储库的管理文件访问审核设置对话框中,更改所需的设置。
-
适用于记录对文件和文件夹的访问权限下,选择成功和/或失败尝试的日志记录。如果您没有进行选择,则对文件和文件夹禁用日志记录。
-
适用于记录对文件共享的访问下,选择成功和/或失败尝试的日志记录。如果您没有进行选择,则会禁用文件共享的日志记录。
-
适用于选择审计事件日志目标中,选择CloudWatch Logs (CloudWatch 日志)或者Kinesis Data Firehose。然后选择现有日志流或传输流或创建新的日志流。
-
-
选择 Save。
-
使用
update-file-systemCLI 命令或等效UpdateFileSystemAPI 操作。aws fsx update-file-system \ --file-system-id fs-0123456789abcdef0 \ --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \ FileShareAccessAuditing="FAILURE_ONLY", \ AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
迁移审核控制
如果您已对现有文件数据设置了审计控制 (SACL),则可以创建 Amazon FSX 文件系统并将数据迁移到新文件系统中。我们建议使用Amazon DataSync将数据和关联的 SACL 传输到您的 Amazon FSX 文件系统。作为替代解决方案,您可以使用 Robocopy(强健文件复制)。有关更多信息,请参阅 将现有文件存储迁移到 Amazon FSX。
查看事件日志
在 Amazon FSX 开始发出审核事件日志后,您可以查看审核事件日志。查看日志的位置和方式取决于审计事件日志目标:
-
您可以通过转到 CloudWatch 控制台并选择要向其发送审计事件日志的日志组和日志流来查看 CloudWatch 日志日志。有关更多信息,请参阅 。查看发送到 CloudWatch Logs 的日志数据中的Amazon CloudWatch Logs 用户指南。
您可以使用 CloudWatch Logs Insights 以交互方式搜索和分析您的日志数据。有关更多信息,请参阅 。使用 CloudWatch Logs Insights 分析日志数据,在Amazon CloudWatch Logs 用户指南。
您还可以将审核事件日志导出到 Amazon S3。有关更多信息,请参阅 。将日志数据导出到 Amazon S3,在Amazon CloudWatch Logs 用户指南。
-
您无法查看 Kinesis Data Firehose 上的审核事件日志。但是,您可以配置 Kinesis Data Firehose,以将日志转发到您可以从中读取的目标。目的地包括 Amazon S3、Amazon Redshift、Amazon Elasticsearch Service 和合作伙伴解决方案(如 Splunk 和 Datadog),有关更多信息,请参阅选择目标中的Amazon Kinesis Data Firehose 开发人员指南。
审核事件字段
本节提供审计事件日志中的信息和审计事件示例的说明。
以下是 Windows 审核事件中显著字段的说明。
-
主题用户名是指执行访问权限的用户。
-
对象名称是指已访问的目标文件、文件夹或文件共享。
-
ShareName可用于为文件共享访问而生成的事件。例如,
EventID 5140是在访问网络共享对象时生成的。 -
IpAddress是指启动文件共享事件事件的客户端。
-
Keywords(如果可用),请参阅文件访问是成功还是失败。对于成功访问,该值将为
0x8020000000000000。对于失败的访问,值为0x8010000000000000。 -
时间计时的系统时间是指在系统中生成事件的时间,并以 <YYYY-MM-DDH: mm: SS.s>Z 格式显示。
-
Computer是指文件系统 Windows 远程 PowerShell 终端节点的 DNS 名称,可用于标识文件系统。
-
访问掩码(如果可用)是指执行的文件访问类型(例如,读取数据、写入数据)。
-
访问列表是指已请求或授予对对象的访问权限。有关详细信息,请参阅下表和 Microsoft 文档(如事件 4556
)。
| 访问权限类型 | 访问掩码 | 值 |
|---|---|---|
|
读取数据或列表目录 |
0x1 |
%%4416 |
|
写入数据或添加文件 |
0x2 |
%%4417 |
|
追加数据或添加子目录 |
0x4 |
%%4418 |
|
读取扩展属性 |
0x8 |
%%4419 |
|
写入扩展属性 |
0x10 |
%%4420 |
|
执行/遍历 |
0x20 |
%%4421 |
|
删除子级 |
0x40 |
%%4422 |
|
读取属性 |
0x80 |
%%4423 |
|
写入属性 |
0x100 |
%%4424 |
|
Delete |
0x10000 |
%%1537 |
|
读取 ACL |
0x20000 |
%%1538 |
|
写入 ACL |
0x40000 |
%%1539 |
|
写入拥有者 |
0x80000 |
%%1540 |
|
同步 |
0x100000 |
%%1541 |
|
访问安全 ACL |
0x1000000 |
%%1542 |
以下是一些关键事件及示例。请注意,为方便阅读,为此 XML 设置了格式。
事件 ID删除对象时记录。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4660</EventID><Version>0</Version><Level>0</Level> <Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/> <EventRecordID>315452</EventRecordID><Correlation/> <Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data> <Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>
事件 ID在删除文件的请求上记录。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/> <EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1537 %%4423 </Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data> <Data Name='ProcessId'>0x4</Data></EventData></Event>
事件 ID在对象执行特定操作时记录。下面的示例显示了从文件读取数据,可以从AccessList %%4416。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/> <EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416 </Data> <Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data> </EventData></Event>
下面的示例显示了从文件中写入/追加数据,这些数据可以从AccessList %%4417。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/> <EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417 </Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>
事件 ID表示已请求对象进行特定访问。在以下示例中,读取请求启动到 ObjectName “permtest”,并且尝试失败,如0x8010000000000000。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/> <EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1541 %%4416 %%4423 </Data><Data Name='AccessReason'>%%1541: %%1805 %%4416: %%1805 %%4423: %%1811 D:(A;OICI;0x1301bf;;;AU) </Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data> <Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='ResourceAttributes'>-</Data></EventData></Event>
事件 ID当对象的权限发生更改时会记录。下面的示例显示用户 "管理员" 修改了对象名称的权限 "授权以添加到 SID" SID "的权限"。有关如何解释权限的更多信息,请参阅 Microsoft 文档。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4670</EventID><Version>0</Version><Level>0</Level> <Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0xcc8</Data> <Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data> <Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;; S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data></EventData></Event>
事件 ID每次访问文件共享时都会记录。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/> <EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data> <Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data> <Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data> <Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416 </Data></EventData></Event>
事件 ID在文件共享级别拒绝访问时被记录。下面的示例显示了对 Shareename “数据共享 01” 的访问被拒绝。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5145</EventID><Version>0</Version><Level>0</Level> <Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel> <Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517- 1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data> <Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data> <Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data> <Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data> <Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538: %%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>
事件 ID将在删除文件共享时记录。下面的示例显示了已成功删除 “重命名””。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5144</EventID><Version>0</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-20T19:37:47.783743600Z'/> <EventRecordID>324387</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='1696'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-18</Data><Data Name='SubjectUserName'>AMZNFSXGYZOHMW8$</Data> <Data Name='SubjectDomainName'>example</Data><Data Name='SubjectLogonId'>0x3e7</Data> <Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\demoshare02</Data><Data Name='ShareLocalPath'>D:\demoshare02</Data> </EventData></Event>
如果您使用 CloudWatch Logs 见解搜索日志数据,则可以在事件字段上运行查询,如以下示例所示:
-
要查询特定事件 ID,请执行以下操作:
fields @message | filter @message like /4660/ -
查询与特定文件名匹配的所有事件:
fields @message | filter @message like /event.txt/
有关 CloudWatch Logs 见解查询语言的详细信息,请参阅使用 CloudWatch Logs Insights 分析日志数据,在Amazon CloudWatch Logs 用户指南。