Session Logger für Amazon WorkSpaces Secure Browser einrichten

Warnung

Durch die Aktivierung von Session Logger werden die folgenden Chrome-Funktionen deaktiviert:

Inkognito-Modus
Entwicklertools
Chrome-Profilwechsel

Um den Sitzungslogger für ein WorkSpaces Secure Browser-Portal zu aktivieren, müssen Sie zunächst den Amazon S3 S3-Bucket identifizieren, in dem Sitzungsereignisse gesammelt werden. Sie können einen vorhandenen Bucket verwenden, der bereits ähnliche Protokolle speichert, oder einen neuen Bucket speziell für diesen Zweck erstellen.

Der Amazon S3 S3-Bucket muss über eine Bucket-Richtlinie verfügen, die WorkSpaces Secure Browser die Erlaubnis erteilt, Protokolle in den Bucket zu schreiben. Wir empfehlen, den Amazon S3 S3-Bucket in derselben AWS-Konto Region wie Ihr WorkSpaces Secure Browser-Portal zu platzieren.

Es gibt keine Benennungspflicht für den Amazon S3 S3-Bucket. Gehen Sie wie folgt vor, um einen neuen Bucket zu erstellen, oder lesen Sie im Amazon Simple Storage Service-Benutzerhandbuch den Abschnitt Erstellen eines Allzweck-Buckets. Anleitungen zur Konfiguration von Berechtigungen finden Sie unter Bucket-Richtlinien für Amazon S3 im Amazon Simple Storage Service-Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Richtlinie für Ihren Amazon S3 S3-Bucket. Stellen Sie sicher, dass Sie die Richtlinie mit dem Namen Ihres Amazon S3 S3-Buckets aktualisieren. Beachten Sie, dass der Principal „workspaces-web.amazonaws.com“ lautet.



  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSessionLogger",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces-web.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
 }

Die Aktivierung von Session Logger auf Ihrem WorkSpaces Secure Browser-Portal kann zu Gebühren von Amazon S3 führen. Informationen finden Sie unter Amazon S3 – Preise.

Weitere Informationen zu den sitzungsbezogenen Ereignissen, die von Session Logger erfasst werden, finden Sie unter. Sitzungsereignisse im Session Logger für Amazon WorkSpaces Secure Browser

S3-Buckets mit KMS-Verschlüsselung (optional)

WorkSpaces Secure Browser Session Logger unterstützt Amazon S3 S3-Buckets mit aktivierter AWS KMS Verschlüsselung vollständig. Um die ordnungsgemäße Protokollierungsfunktion mit Ihrem verschlüsselten Amazon S3 S3-Bucket sicherzustellen, müssen Sie Session Logger die erforderlichen Berechtigungen zur Verwendung Ihres AWS KMS Schlüssels gewähren.

Fügen Sie Ihrer AWS KMS Schlüsselkonfiguration die folgende Richtlinie hinzu:



{
  "Sid": "Session Logger",
  "Effect": "Allow",
  "Principal": {
    "Service": "workspaces-web.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:GenerateDataKey*"
  ],
  "Resource": "*"
},

Wählen Sie in der AWS Konsole das WorkSpaces Secure Browser-Portal aus, in dem Sie Ereignisse erfassen möchten, und klicken Sie auf die Registerkarte Sitzungsprotokollierung und dann auf Bearbeiten.

Geben Sie die folgenden Informationen ein, um den Sitzungslogger für das Portal zu konfigurieren:

S3-Standort (erforderlich): Der Name Ihres Amazon S3 S3-Buckets, in den Ereignisse übertragen werden.
Schlüsselpräfix (optional): Der Ordner, in den Ereignisse übermittelt werden. Wenn der Ordner nicht existiert, wird er erstellt. Wenn das Feld leer gelassen wird, schreibt Session Logger Ereignisse in das Stammverzeichnis des Amazon S3 S3-Buckets.

Unter Erweitert können Sie die folgenden Felder konfigurieren:

Ereignisfilter: Dies ist die Liste der Ereignisse, die von Session Logger überwacht werden.
- Alle: Wenn Sie diese Option auswählen, werden alle aktuellen und future Ereignisse überwacht
- Einschließen: Auf diese Weise können Sie manuell bestimmte Ereignisse auswählen, die überwacht werden sollen. Nur die explizit ausgewählten Ereignisse werden protokolliert. Neue Ereignisse, die in future Updates eingeführt werden, werden nicht überwacht, es sei denn, sie werden manuell zur Auswahl hinzugefügt.
Dateiformat
- JSON (Standard): Dies ist ein Dateiformat, bei dem jede Protokolldatei als eine Reihe von Ereignissen dargestellt wird. Wir empfehlen dieses Format für die meisten Anwendungsfälle.
- JSONLines: Dies ist ein Dateiformat, das für Amazon Athena optimiert ist.
Ordnerstruktur: Dies bestimmt, wie die Protokolldateien gespeichert werden.
- Flach (Standard): Alle Protokolldateien befinden sich in einem einzigen Ordner.
- Nach Datum verschachtelt: Die Protokolldateien sind nach Datum und Uhrzeit in Ordnern angeordnet. Partitioniert für Amazon Athena und optimiert für Amazon Athena Athena-Abfragen.

Sie können das Session Logger-Setup testen und sicherstellen, dass der Session-Logger ordnungsgemäß funktioniert. Sobald die Konfiguration abgeschlossen ist, versucht das System, eine Testdatei mit dem Namen in den angegebenen Amazon S3 S3-Bucket und Ordner _workspaces_secure_browser.tmp zu schreiben. Dies dient der Validierung sowohl der Protokollierungsfunktion als auch der Einrichtung von Berechtigungen.

Sie können auch eine Testsitzung ausführen, indem Sie eine Secure Browser-Sitzung im Portal starten und den Browser wie gewohnt verwenden. Session Logger schreibt während einer aktiven Sitzung oder wenn die Sitzung endet, alle 15 Minuten Protokolldateien in Ihren konfigurierten Amazon S3 S3-Bucket.

Nachdem Sie die Sitzung beendet oder auf das nächste Protokollierungsintervall gewartet haben, überprüfen Sie den Amazon S3 S3-Bucket, um sicherzustellen, dass die Protokolldateien für Ihre Sitzung wie erwartet generiert und gespeichert wurden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Protokollierung von Benutzeraktivitäten einrichten

Protokollierung des Benutzerzugriffs einrichten