管理文件访问审计 - FSx适用于 Windows 文件服务器的亚马逊
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理文件访问审计

在创建新的 Amazon FSx for Windows 文件服务器文件系统时,您可以启用文件访问审计。当您通过 Amazon FSx 控制台创建文件系统时,文件访问审计默认处于关闭状态。

在启用了文件访问审计的现有文件系统上,您可以更改文件访问审计设置,包括更改文件和文件共享访问的访问尝试类型以及审计事件日志目标。您可以使用 Amazon FSx 控制台 Amazon CLI、或执行这些任务API。

注意

只有吞吐量为 32 MBps 或更大FSx的 Windows 文件服务器文件系统的 Amazon 支持文件访问审计。MBps如果启用了文件访问审计,则无法创建或更新吞吐量小于 32 的文件系统。创建文件系统后,您可以随时修改吞吐能力。有关更多信息,请参阅 正在管理 Windows 文件服务器文件系统的吞吐容量 FSx

  1. 打开 Amazon FSx 控制台,网址为https://console.aws.amazon.com/fsx/

  2. 按照“入门”部分的第 1 步。创建您的文件系统中所述的步骤创建新文件系统。

  3. 打开审核 – 可选部分。默认情况下,文件访问审计处于禁用状态。

    创建文件系统向导的审计 – 可选部分,显示默认情况下文件访问审计处于关闭状态。
  4. 要启用和配置文件访问审计,请执行以下操作。

    • 对于文件和文件夹的日志访问权限,请选择成功和/或失败尝试日志记录。如果未做出选择,则会禁用文件和文件夹的日志记录。

    • 对于文件共享的日志访问权限,请选择成功和/或失败尝试日志记录。如果未做出选择,则会禁用文件共享的日志记录。

    • 在 “选择审核事件日志目标” 中,选择 “CloudWatch 日志” 或 “Fire hose”。然后选择现有日志或传输流,或者创建新的日志或传输流。对于 CloudWatch 日志,Amazon FSx 可以在日志组中创建和使用默认 CloudWatch /aws/fsx/windows日志流。

    以下是文件访问审计配置的示例,该配置将审核最终用户成功和失败的文件、文件夹和文件共享访问尝试。审核事件日志将发送到默认的 CloudWatch 日志/aws/fsx/windows日志组目标。

    文件系统的文件访问审计配置示例。
  5. 继续执行文件系统创建向导的下一部分。

当文件系统处于可用状态时,将启用文件访问审计功能。

  1. 创建新文件系统时,使用带有CreateFileSystemAPI操作的AuditLogConfiguration属性来启用新文件系统的文件访问审计。

    aws fsx create-file-system \ --file-system-type WINDOWS \ --storage-capacity 300 \ --subnet-ids subnet-123456 \ --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \ FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \ AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
  2. 当文件系统处于可用状态时,将启用文件访问审计功能。

  1. 打开 Amazon FSx 控制台,网址为https://console.aws.amazon.com/fsx/

  2. 导航到文件系统,然后选择要管理文件访问审计的 Windows 文件系统。

  3. 选择管理选项卡。

  4. 文件访问审计面板上,选择管理

    FSxconsole 文件访问审计面板,显示文件访问审计配置。
  5. 管理文件访问审计设置对话框中,更改所需的设置。

    FSxconsole 文件访问审计面板,使用此面板修改文件访问审计配置。
    • 对于文件和文件夹的日志访问权限,请选择成功和/或失败尝试日志记录。如果未做出选择,则会禁用文件和文件夹的日志记录。

    • 对于文件共享的日志访问权限,请选择成功和/或失败尝试日志记录。如果未做出选择,则会禁用文件共享的日志记录。

    • 在 “选择审核事件日志目标” 中,选择 “CloudWatch 日志” 或 “Fire hose”。然后选择现有日志或传输流,或者创建新的日志或传输流。

  6. 选择保存

  • 使用update-file-systemCLI命令或等效UpdateFileSystemAPI操作。

    aws fsx update-file-system \ --file-system-id fs-0123456789abcdef0 \ --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \ FileShareAccessAuditLogLevel="FAILURE_ONLY", \ AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'