Auditoría de acceso a archivos - Amazon FSx para Windows File Server

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Auditoría de acceso a archivos

Amazon FSx for Windows File Server permite auditar el acceso de los usuarios finales a archivos, carpetas y recursos compartidos de archivos. Puede optar por enviar los registros de eventos de auditoría de un sistema de archivos a otros AWS servicios que ofrecen un amplio conjunto de funciones. Estas incluyen la posibilidad de consultar, procesar, almacenar y archivar los registros, emitir notificaciones y activar acciones para mejorar aún más sus objetivos de seguridad y cumplimiento.

Para obtener más información sobre el uso de la auditoría de acceso a los archivos para obtener información sobre los patrones de acceso e implementar notificaciones de seguridad para la actividad de los usuarios finales, consulte Información sobre los patrones de acceso al almacenamiento de archivos e Implementación de notificaciones de seguridad para la actividad de los usuarios finales.

La auditoría de acceso a archivos le permite registrar los accesos de los usuarios finales a archivos, carpetas y recursos compartidos de archivos individuales en función de los controles de auditoría definidos. Los controles de auditoría también se conocen como listas de control de acceso al sistema (SACL) de NTFS. Si ya ha configurado controles de auditoría en los datos de sus archivos existentes, puede aprovechar la auditoría de acceso a los archivos creando un nuevo sistema de archivos de Amazon FSx para Windows File Server y migrando los datos.

Amazon FSx admite los siguientes eventos de auditoría de Windows para el acceso a archivos, carpetas y archivos compartidos:

  • Para el acceso a los archivos, es compatible con: Todos, Recorrer carpeta/Ejecutar archivo, Enumerar carpeta/Leer datos, Leer atributos, Crear archivos/Escribir datos, Crear carpetas/Agregar datos, Escribir atributos, Eliminar subcarpetas y archivos, Eliminar, Leer permisos, Cambiar permisos y Asumir la propiedad.

  • Para los accesos a archivos compartidos, admite: Conectarse a un recurso compartido de archivos.

En todos los accesos a archivos, carpetas y archivos compartidos, Amazon FSx admite el registro de los intentos exitosos (por ejemplo, un usuario con permisos suficientes para acceder correctamente a un archivo o recurso compartido de archivos), los intentos fallidos o ambos.

Puede configurar si desea acceder a la auditoría únicamente a los archivos y carpetas, solo a los archivos compartidos o a ambos. También puede configurar qué tipos de accesos deben registrarse (solo los intentos exitosos, solo los intentos fallidos o ambos). También puede desactivar la auditoría de acceso a archivos en cualquier momento.

nota

La auditoría de acceso a los archivos registra los datos de acceso de los usuarios finales únicamente desde el momento en que está habilitada. Es decir, la auditoría de acceso a los archivos no genera registros de eventos de auditoría de la actividad de acceso a archivos, carpetas y archivos compartidos de los usuarios finales que se produjo antes de que se habilitara la auditoría de acceso a los archivos.

La tasa máxima de eventos de auditoría de acceso admitidos es de 5000 eventos por segundo. Los eventos de auditoría de acceso no se generan para cada operación de lectura y escritura de archivos, sino que se generan una vez por cada operación de metadatos de archivo, por ejemplo, cuando un usuario crea, abre o elimina un archivo.

Audite los destinos del registro de eventos

Al habilitar la auditoría de acceso a los archivos, debe configurar un AWS servicio al que Amazon FSx envíe los registros de eventos de auditoría. Puede enviar los registros de eventos de auditoría a una secuencia de CloudWatch registros de Amazon Logs de un grupo de CloudWatch registros de Logs o a una transmisión de entrega de Amazon Data Firehose. Puede elegir el destino de los registros de eventos de auditoría al crear el sistema de archivos Amazon FSx for Windows File Server o en cualquier momento posterior al actualizar un sistema de archivos existente. Para obtener más información, consulte Administrar la auditoría de acceso a los archivos.

A continuación, se incluyen algunas recomendaciones que pueden ayudarle a decidir qué destino de los registros de eventos de auditoría elegir:

  • Elija CloudWatch Logs si desea almacenar, ver y buscar registros de eventos de auditoría en la CloudWatch consola de Amazon, ejecutar consultas en los CloudWatch registros mediante Logs Insights y activar CloudWatch alarmas o funciones Lambda.

  • Elija Firehose si desea transmitir eventos de forma continua al almacenamiento en Amazon S3, a una base de datos en Amazon Redshift, a OpenSearch Amazon Service o a soluciones de socios (como Splunk o Datadog) AWS para un análisis más detallado.

De forma predeterminada, Amazon FSx creará y utilizará un grupo de CloudWatch registros predeterminado en su cuenta como destino del registro de eventos de auditoría. Si quieres usar un grupo de CloudWatch registros personalizado o usar Firehose como destino del registro de eventos de auditoría, estos son los requisitos para los nombres y ubicaciones del destino del registro de eventos de auditoría:

  • El nombre del grupo de CloudWatch registros debe empezar por el /aws/fsx/ prefijo. Si no tiene un grupo de CloudWatch registros existente al crear o actualizar un sistema de archivos en la consola, Amazon FSx puede crear y usar un flujo de registros predeterminado en el grupo de CloudWatch /aws/fsx/windows registros. Si no desea utilizar el grupo de registros predeterminado, la interfaz de usuario de configuración le permite crear un grupo de CloudWatch registros al crear o actualizar su sistema de archivos en la consola.

  • El nombre de la transmisión de entrega de Firehose debe empezar por el aws-fsx- prefijo. Si no tienes una transmisión de entrega de Firehose existente, puedes crear una al crear o actualizar tu sistema de archivos en la consola.

  • El flujo de entrega de Firehose debe configurarse para que se utilice Direct PUT como fuente. No puede utilizar un flujo de datos de Kinesis existente como origen de datos para la transmisión de entrega.

  • El destino (grupo de CloudWatch registros de Logs o flujo de entrega de Firehose) debe estar en la misma AWS partición y Cuenta de AWS en el sistema de archivos de Amazon FSx. Región de AWS

Puede cambiar el destino del registro de eventos de auditoría en cualquier momento (por ejemplo, de CloudWatch Logs a Firehose). Al hacerlo, los nuevos registros de eventos de auditoría se envían solo al nuevo destino.

Entrega de registros de eventos de auditoría de la mejor forma

Por lo general, los registros del registro de eventos de auditoría se entregan al destino en cuestión de minutos, pero a veces pueden tardar más. En muy raras ocasiones, es posible que no se registren los registros de eventos de auditoría. Si su caso de uso requiere una semántica específica (por ejemplo, asegurarse de que no se omita ningún evento de auditoría), le recomendamos que tenga en cuenta los eventos omitidos al diseñar sus flujos de trabajo. Puede realizar una auditoría para detectar eventos omitidos escaneando la estructura de archivos y carpetas de su sistema de archivos.

Migración de los controles de auditoría

Si ya tiene controles de auditoría (SACL) configurados en los datos de sus archivos existentes, puede crear un sistema de archivos Amazon FSx y migrar los datos a su nuevo sistema de archivos. Le recomendamos que lo utilice AWS DataSync para transferir los datos y las SACL asociadas a su sistema de archivos Amazon FSx. Como solución alternativa, puede utilizar Robocopy (Robust File Copy). Para obtener más información, consulte Migración del almacenamiento de archivos existente a Amazon FSx.

Visualización de registros de eventos

Puede ver los registros de eventos de auditoría una vez que Amazon FSx haya empezado a emitirlos. El lugar y la forma de ver los registros dependen del destino del registro de eventos de auditoría:

  • Para ver CloudWatch los registros, vaya a la CloudWatch consola y elija el grupo de registros y el flujo de registros a los que se enviarán los registros de eventos de auditoría. Para obtener más información, consulta Ver los datos de registro enviados a CloudWatch Logs en la Guía del usuario de Amazon CloudWatch Logs.

    Puede utilizar CloudWatch Logs Insights para buscar y analizar sus datos de registro de forma interactiva. Para obtener más información, consulte Análisis de datos de registro con CloudWatch Logs Insights, en la Guía del usuario de Amazon CloudWatch Logs.

    También puede exportar registros de eventos de auditoría a Amazon S3. Para obtener más información, consulte Exportación de datos de registro a Amazon S3, también en la Guía del usuario de Amazon CloudWatch Logs.

  • No puedes ver los registros de eventos de auditoría en Firehose. Sin embargo, puedes configurar Firehose para que reenvíe los registros a un destino desde el que puedas leer. Los destinos incluyen Amazon S3, Amazon Redshift, Amazon OpenSearch Service y soluciones de socios como Splunk y Datadog. Para obtener más información, consulte Choose destination en la Guía para desarrolladores de Amazon Data Firehose.

Campos de eventos de auditoría

Esta sección proporciona descripciones de la información de los registros de eventos de auditoría y ejemplos de eventos de auditoría.

A continuación, se describen los campos más destacados de un evento de auditoría de Windows.

  • EventID hace referencia al ID de evento de registro de eventos de Windows definido por Microsoft. Consulte la documentación de Microsoft para obtener información sobre los eventos del sistema de archivos y los eventos de archivos compartidos.

  • SubjectUserNamese refiere al usuario que realiza el acceso.

  • ObjectNamehace referencia al archivo, carpeta o recurso compartido de archivos de destino al que se ha accedido.

  • ShareNameestá disponible para los eventos que se generan para el acceso a los archivos compartidos. Por ejemplo, EventID 5140 se genera cuando se accede a un objeto compartido de red.

  • IpAddressse refiere al cliente que inició el evento para los eventos de uso compartido de archivos.

  • Keywords, cuando están disponibles, se refieren a si el acceso al archivo se ha realizado correctamente o no. Para que los accesos se realicen correctamente, el valor es 0x8020000000000000. Para los accesos fallidos, el valor es 0x8010000000000000.

  • TimeCreated SystemTimese refiere a la hora en que el evento se generó en el sistema y se mostró en <YYYY-MM-DDThh:mm:ss.s>formato Z.

  • Computadora hace referencia al nombre DNS del sistema de archivos Windows Remote PowerShell Endpoint y se puede usar para identificar el sistema de archivos.

  • AccessMask, cuando está disponible, se refiere al tipo de acceso a los archivos realizado (por ejemplo, ReadData, WriteData).

  • AccessListse refiere al acceso solicitado o concedido a un objeto. Para obtener más información, consulte la tabla siguiente y la documentación de Microsoft (por ejemplo, en el Evento 4556).

Tipo de acceso Máscara de acceso Valor

Leer datos o directorio de la lista

0x1

%%4416

Escribir datos o añadir un archivo

0x2

%%4417

Añadir datos o añadir un subdirectorio

0x4

%%4418

Atributos de lectura extendidos

0x8

%%4419

Atributos de escritura extendidos

0x10

%%4420

Ejecutar/recorrer

0x20

%%4421

Eliminar elemento secundario

0x40

%%4422

Atributos de lectura

0x80

%%4423

Atributos de escritura

0x100

%%4424

Delete

0x10000

%%1537

ACL de lectura

0x20000

%%1538

ACL de escritura

0x40000

%%1539

Propietario de escritura

0x80000

%%1540

Sincronizar

0x100000

%%1541

ACL de seguridad de acceso

0x1000000

%%1542

A continuación, se presentan algunos eventos clave con algunos ejemplos. Tenga en cuenta que el XML tiene un formato que se puede leer.

El ID de evento 4660 se registra cuando se elimina un objeto.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4660</EventID><Version>0</Version><Level>0</Level> <Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/> <EventRecordID>315452</EventRecordID><Correlation/> <Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data> <Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>

El ID de evento 4659 se registra en una solicitud de eliminación de un archivo.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/> <EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1537 %%4423 </Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data> <Data Name='ProcessId'>0x4</Data></EventData></Event>

El ID de evento 4663 se registra cuando se realiza una operación específica en el objeto. El siguiente ejemplo muestra la lectura de datos de un archivo, que se puede interpretar a partir de AccessList %%4416.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/> <EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416 </Data> <Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data> </EventData></Event>

El siguiente ejemplo muestra la escritura/adición de datos de un archivo, que se puede interpretar a partir de AccessList %%4417.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/> <EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417 </Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>

El ID de evento 4656 indica que se ha solicitado un acceso específico para un objeto. En el siguiente ejemplo, la solicitud de lectura se inició como ObjectName «prueba de permiso» y fue un intento fallido, como se ve en el valor de palabras clave de. 0x8010000000000000

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/> <EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1541 %%4416 %%4423 </Data><Data Name='AccessReason'>%%1541: %%1805 %%4416: %%1805 %%4423: %%1811 D:(A;OICI;0x1301bf;;;AU) </Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data> <Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='ResourceAttributes'>-</Data></EventData></Event>

El ID de evento 4670 se registra cuando se cambian los permisos de un objeto. En el siguiente ejemplo, se muestra que el usuario «admin» modificó el permiso de «permtest» para añadir permisos al SID ObjectName «S-1-5-21-658495921-4185342820-3824891517-1113". Consulte la documentación de Microsoft para obtener más información sobre cómo interpretar los permisos.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4670</EventID><Version>0</Version><Level>0</Level> <Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0xcc8</Data> <Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data> <Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;; S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data></EventData></Event>

El ID de evento 5140 se registra cada vez que se accede a un archivo compartido.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/> <EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data> <Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data> <Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data> <Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416 </Data></EventData></Event>

El ID de evento 5145 se registra cuando se deniega el acceso en el nivel de archivos compartidos. En el siguiente ejemplo, se muestra que se denegó el acceso a «demoshare01". ShareName

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5145</EventID><Version>0</Version><Level>0</Level> <Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel> <Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517- 1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data> <Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data> <Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data> <Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data> <Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538: %%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>

Si utilizas CloudWatch Logs Insights para buscar tus datos de registro, puedes ejecutar consultas en los campos de eventos, como se muestra en los siguientes ejemplos:

  • Para consultar un ID de evento específico:

    fields @message | filter @message like /4660/
  • Para consultar todos los eventos que coincidan con un nombre de archivo concreto:

    fields @message | filter @message like /event.txt/

Para obtener más información sobre el lenguaje de consulta de CloudWatch Logs Insights, consulte Análisis de datos de registro con CloudWatch Logs Insights, en la Guía del usuario de Amazon CloudWatch Logs.