本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
审计文件访问权
适用于 Windows 文件服务器的 Amazon FSx 支持审核最终用户对文件、文件夹和文件共享的访问权限。你可以选择将审计事件日志发送给一组丰富的其他Amazon支持查询、处理、存储和存档日志、发出通知和触发操作的服务,以进一步推进安全性和合规性目标。
文件访问审核概述
通过文件访问审计,您可以根据定义的审计控制来记录最终用户对单个文件、文件夹和文件共享的访问权限。审计控制也称为 NTFS 系统访问控制列表 (SACL)。如果您已经对现有文件数据设置了审计控制,则可以通过创建新的 Amazon FSx for Windows 文件服务器文件系统并迁移数据来利用文件访问审核。
Amazon FSx 支持 Windows 为文件、文件夹和文件共享访问提供的以下审计事件:
对于文件访问,它支持:全部、Traverse 文件夹/执行文件、列表文件夹/读取数据、读取属性、创建文件/写入数据、创建文件夹/追加数据、写入属性、删除子文件夹和文件、删除、读取权限、更改权限和获取所有权。
对于文件共享访问,它支持:Connect 到文件共享。
在文件、文件夹和文件共享访问中,Amazon FSx 支持记录成功尝试(例如具有足够权限的用户成功访问文件或文件共享)、失败尝试或两者兼有。
您可以配置是仅对文件和文件夹、仅对文件共享还是两者进行访问审核。您还可以配置应记录哪些类型的访问(仅限成功尝试、仅失败尝试或两者兼而有)。您也可以随时关闭文件访问审核。
支持的访问审计事件的最高速率为每秒 5,000 个事件。不会为每个文件读取和写入操作生成访问审计事件,而是在每个文件元数据操作(例如用户创建、打开或删除文件时)生成一次访问审计事件。
审核事件日志目标
启用后,文件访问审核功能必须配置AmazonAmazon FSx 将审计事件日志发送到的服务。此审核事件日志目标必须是亚马逊CloudWatch将日志流记录到CloudWatch记录日志组或 Amazon Kinesis Data Firehose 传输流。您可以在创建 Amazon FSx for Windows File Server 文件系统时或之后通过更新该系统选择审核事件日志目标。有关更多信息,请参阅 管理文件访问审计。
以下是一些可能有助于您决定要选择哪个审计事件日志目标的建议:
-
选择CloudWatch日志是否要在亚马逊中存储、查看和搜索审计事件日志CloudWatch控制台,使用对日志运行查询CloudWatch记录见解并触发CloudWatch警报或 Lambda 函数。
-
如果要将事件持续流式传输到 Amazon S3 中的存储、Amazon Redshift 中的数据库和亚马逊,请选择 Kinesis Data FirehoseOpenSearch服务,或者Amazon用于进一步分析的合作伙伴解决方案(例如 Splunk 或 Datadog)。
默认情况下,Amazon FSx 将创建并使用默认值CloudWatch将您账户中的日志组记录为审核事件日志目标。如果您想使用自定义CloudWatch日志日志组或使用 Kinesis Data Firehose 作为审核事件日志目标,以下是审核事件日志目标的名称和位置的要求:
-
该名称CloudWatch日志日志组必须以
/aws/fsx/prefix. 如果您没有现有CloudWatch记录日志组在控制台上创建或更新文件系统时,Amazon FSx 可以在CloudWatch日志/aws/fsx/windows日志组。如果您不想使用默认日志组,配置 UI 允许您创建一个CloudWatch在控制台上创建或更新文件系统时记录日志组。 -
Kinesis Data Firehose 传输流的名称必须以
aws-fsx-prefix. 如果您没有现有的 Kinesis Data Firehose 传输流,则可以在控制台创建或更新文件系统时创建一个。 -
必须将 Kinesis Data Firehose 传输流配置为使用
Direct PUT作为它的来源。您不能将现有的 Kinesis 数据流用作交付流的数据源。 -
目标(CloudWatch必须位于同一个日志组或 Kinesis Data Firehose 传输流中)Amazon分区,Amazon Web Services 区域, 和Amazon Web Services 账户作为您的亚马逊 FSx 文件系统。
您可以随时更改审计事件日志目标(例如,从CloudWatch日志到 Kinesis Data Firehose)。执行此操作时,新的审计事件日志将仅发送到新目标。
尽力审计事件日志交付
通常,审计事件日志记录在几分钟内交付,但有时可能需要更长的时间。在极少数情况下,审核事件日志记录可能遗漏。如果您的使用案例需要特定的语义(例如,确保不遗漏审核事件),建议您在设计工作流程时对遗漏的事件加以说明。您可以通过扫描文件系统上的文件和文件夹结构以审核遗漏的事件。
审核文件和文件夹的访问权限
您需要对要审计用户访问尝试的文件和文件夹设置审计控制。审计控制也称为 NTFS 系统访问控制列表 (SACL)。
您可以使用 Windows 原生 GUI 界面或以编程方式使用 Windows 配置审计控制PowerShell命令。如果启用继承,则通常只需要在要记录访问权限的顶级文件夹上设置审计控制。
使用 Windows GUI 设置审核访问权限
要使用 GUI 设置文件和文件夹的审计控制,请使用 Windows 文件资源管理器。在给定的文件或文件夹上,打开 Windows 文件资源管理器,然后选择属性 > 安全 > 高级 > 审计选项卡。
以下审计控制示例审计文件夹的成功事件。只要管理员用户成功读取该句柄,就会发出 Windows 事件日志条目。
这些区域有:类型字段指示要审核哪些操作。将此字段设置为成功为了审计成功的尝试,Fail审计失败的尝试,或者全部审计成功和失败的尝试。
有关审核条目字段的更多信息,请参阅对文件或文件夹应用基本审计策略
使用PowerShell设置审计访问权限的命令
您可以使用 Microsoft WindowsSet-Acl命令在任何文件或文件夹上设置审计 SACL。有关此命令的信息,请参阅 MicrosoftSet-Ac
以下是使用一系列PowerShell命令和变量来设置成功尝试的审计访问权限。您可以调整这些示例命令以满足文件系统的需求。
$path = "C:\Users\TestUser\Desktop\DemoTest\" $ACL = Get-Acl $path $ACL | Format-List $AuditUser = "TESTDOMAIN\TestUser" $AuditRules = "FullControl" $InheritType = "ContainerInherit,ObjectInherit" $AuditType = "Success" $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType) $ACL.SetAuditRule($AccessRule) $ACL | Set-Acl $path Get-Acl $path -Audit | Format-List
管理文件访问审计
创建新的 Amazon FSx for Windows File Server 文件系统时,您可以启用文件访问审核。当您从 Amazon FSx 控制台创建文件系统时,默认情况下,文件访问审核处于关闭状态。
在已启用文件访问审核的现有文件系统上,您可以更改文件访问审核设置,包括更改文件和文件共享访问的访问尝试类型以及审计事件日志目标。您可以使用 Amazon FSx 控制台执行这些任务,Amazon CLI,或者 API。
对于吞吐量为 32 MB/s 或更高的 Windows 文件服务器文件系统,只有 Amazon FSx 才支持文件访问审核。如果启用了文件访问审核,则无法创建或更新吞吐量小于 32 MB/s 的文件系统。创建文件系统后,您可以随时修改吞吐量。有关更多信息,请参阅 管理吞吐量容量。
-
从打开 Amazon FSx 控制台https://console.aws.amazon.com/fsx/
. 按照中所述的创建新文件系统的过程进行操作第 1 步:创建文件系统在 “入门” 一节中。
打开可选审核-可选部分。默认情况下,禁用文件访问审核。
-
要启用和配置文件访问审核,请执行以下操作。
-
适用于日志访问文件和文件夹中,选择成功和/或失败尝试的记录。如果没有进行选择,文件和文件夹的日志记录将被禁用。
-
适用于记录对文件共享的访问中,选择成功和/或失败尝试的记录。如果您没有进行选择,文件共享将禁用日志记录。
适用于选择审核事件日志目标,选择CloudWatch日志要么Kinesis Data Firehose. 然后选择现有日志或传输流或创建新的流。适用于CloudWatch日志,Amazon FSx 可以在CloudWatch日志
/aws/fsx/windows日志组。
以下是一个文件访问审计配置的示例,该配置将审计最终用户对文件、文件夹和文件共享的成功和失败的访问尝试。审计事件日志将发送到默认值CloudWatch日志
/aws/fsx/windows日志组目标。
-
-
继续操作文件系统创建向导的下一部分。
当文件系统处于Available,启用了文件访问审核功能。
创建新的文件系统时,请使用
AuditLogConfiguration房地产与CreateFile系统用于启用新文件系统的文件访问审核的 API 操作。aws fsx create-file-system \ --file-system-type WINDOWS \ --storage-capacity 300 \ --subnet-ids subnet-123456 \ --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \ FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \ AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'-
当文件系统处于Available,启用了文件访问审核功能。
从打开 Amazon FSx 控制台https://console.aws.amazon.com/fsx/
. 导航到文件系统,然后选择要管理其文件访问审核的 Windows 文件系统。
选择管理选项卡。
在存储库的审核文件访问审面板中,选择Manage.
在存储库的管理文件访问审核设置对话框中,更改所需的设置。
-
适用于日志访问文件和文件夹中,选择成功和/或失败尝试的记录。如果没有进行选择,文件和文件夹的日志记录将被禁用。
-
适用于记录对文件共享的访问中,选择成功和/或失败尝试的记录。如果您没有进行选择,文件共享将禁用日志记录。
适用于选择审核事件日志目标,选择CloudWatch日志要么Kinesis Data Firehose. 然后选择现有日志或传输流或创建新的流。
-
-
选择 Save(保存)。
使用
update-file-systemCLI 命令或等效命令UpdateFileSystemAPI 操作。aws fsx update-file-system \ --file-system-id fs-0123456789abcdef0 \ --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \ FileShareAccessAuditLogLevel="FAILURE_ONLY", \ AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
迁移审核控制
如果您已经对现有文件数据设置了审计控制 (SACL),则可以创建 Amazon FSx 文件系统并将数据迁移到新的文件系统。我们建议使用Amazon DataSync将数据和关联的 SACL 传输到您的 Amazon FSx 文件系统。作为替代解决方案,你可以使用 Robocopy(强大的文件副本)。有关更多信息,请参阅 将现有文件存储迁移到 Amazon FSx。
查看事件日志
在 Amazon FSx 开始发布审计事件日志后,您可以查看审计事件日志。查看日志的位置和方式取决于审计事件日志目标:
-
您可以查看CloudWatch通过转到记录日志CloudWatch控制台,然后选择将审计事件日志发送到的日志组和日志流。有关更多信息,请参阅 。查看发送到的日志数据CloudWatch日志中的亚马逊CloudWatch日志用户指南.
您可以使用CloudWatch记录 Insights 以交互方式搜索和分析您的日志数据。有关更多信息,请参阅 。使用 分析日志数据CloudWatch日志见解,在亚马逊CloudWatch日志用户指南.
您还可以将审核事件日志导出到 Amazon S3。有关更多信息,请参阅 。将日志数据导出到 Amazon S3另请参阅中的亚马逊CloudWatch日志用户指南.
-
您无法在 Kinesis Data Firehose 上查看审计事件日志。但是,您可以将 Kinesis Data Firehose 配置为将日志转发到可以从中读取的目标。目标包括 Amazon S3、Amazon Redshift、AmazonOpenSearch服务和合作伙伴解决方案,例如 Splunk 和 Datadog,有关详细信息,请参阅选择目标中的Amazon Kinesis Data Firehose 开发人员指南.
审核事件字段
本节介绍了审计事件日志中的信息以及审计事件示例。
以下是 Windows 审计事件中的突出字段的说明。
-
EventId是指微软定义的 Windows 事件日志事件 ID。有关以下信息,请参阅 Microsoft 文档文件系统事件
和文件共享事件 . -
SubjectUser名称指执行访问权限的用户。
-
ObjectName指已访问的目标文件、文件夹或文件共享。
-
ShareName适用于为文件共享访问而生成的事件。例如,
EventID 5140是在访问网络共享对象时生成的。 -
IpAddress指为文件共享事件启动事件的客户端。
-
关键词,如果可用,请参阅文件访问是成功还是失败。对于成功访问,值为
0x8020000000000000. 对于失败的访问,值为0x8010000000000000. -
TimeCreated SystemTime是指在系统中生成事件并以 <YYYY-MM-DDThh:mm:ss.s>Z 格式显示的时间。
-
Computer指文件系统的 DNS 名称 Windows RemotePowerShell终端节点和可用于标识文件系统。
-
AccessMask(如果可用)是指执行的文件访问类型(例如,ReadData、WriteData)。
-
AccessList指请求或授予对对象的访问权限。有关详细信息,请参阅下表和 Microsoft 文档(如事件 4556
)。
| 访问类型 | 访问掩码 | 值 |
|---|---|---|
|
读取数据或列表目录 |
0x1 |
%%4416 |
|
写数据或添加文件 |
0x2 |
%%4417 |
|
追加数据或添加子目录 |
0x4 |
%%4418 |
|
阅读扩展属性 |
0x8 |
%%4419 |
|
写入扩展属性 |
0x10 |
%%4420 |
|
执行/Traverse |
0x20 |
%%4421 |
|
删除子级 |
0x40 |
%%4422 |
|
阅读属性 |
0x80 |
%%4423 |
|
写入属性 |
0x100 |
%%4424 |
|
删除 |
0x10000 |
%%1537 |
|
阅读 ACL |
0x20000 |
%%1538 |
|
写入 ACL |
0x40000 |
%1539 |
|
写入拥有者 |
0x80000 |
%%1540 |
|
同步 |
0x100000 |
%1541 |
|
访问安全 ACL |
0x1000000 |
%%1542 |
以下是带示例的一些关键事件。请注意,为方便阅读,XML 设置了格式。
事件 ID 4660删除对象时将记录。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4660</EventID><Version>0</Version><Level>0</Level> <Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/> <EventRecordID>315452</EventRecordID><Correlation/> <Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data> <Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>
事件 ID 4659已登录删除文件的请求。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/> <EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1537 %%4423 </Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data> <Data Name='ProcessId'>0x4</Data></EventData></Event>
事件 ID 4663在对象执行特定操作时记录。以下示例显示从文件中读取数据,可以从AccessList %%4416.
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/> <EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416 </Data> <Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data> </EventData></Event>
以下示例显示了从文件中写入/附加数据,可以从AccessList %%4417.
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/> <EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417 </Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>
事件 ID 4656表示请求了对象的特定访问权限。在以下示例中,已启动读取请求ObjectName “permtest” 并且是失败的尝试,如关键词值所示0x8010000000000000.
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/> <EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1541 %%4416 %%4423 </Data><Data Name='AccessReason'>%%1541: %%1805 %%4416: %%1805 %%4423: %%1811 D:(A;OICI;0x1301bf;;;AU) </Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data> <Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='ResourceAttributes'>-</Data></EventData></Event>
事件 ID 4670在对象的权限发生更改时记录。以下示例显示用户 “admin” 修改了上的权限ObjectName “许可” 向 SID “S-1-5-21-658495921-4185342820-3824891517-1113” 添加权限。有关如何解释权限的更多信息,请参阅 Microsoft 文档。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4670</EventID><Version>0</Version><Level>0</Level> <Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0xcc8</Data> <Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data> <Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;; S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data></EventData></Event>
事件 ID 5140每次访问文件共享时都会记录。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/> <EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data> <Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data> <Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data> <Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416 </Data></EventData></Event>
事件 ID 5145在文件共享级别拒绝访问时记录。下面的示例演示了对ShareName “demoshare01” 被拒绝。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5145</EventID><Version>0</Version><Level>0</Level> <Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel> <Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517- 1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data> <Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data> <Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data> <Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data> <Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538: %%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>
如果您使用CloudWatch记录 Insights 要搜索日志数据,您可以对事件字段运行查询,如以下示例所示:
-
要查询特定事件 ID:
fields @message | filter @message like /4660/ -
要查询与特定文件名匹配的所有事件:
fields @message | filter @message like /event.txt/
有关CloudWatchLogs Insights 查询语言,请参阅使用 分析日志数据CloudWatch日志见解,在亚马逊CloudWatch日志用户指南.