Auditoría de acceso a archivos - Amazon FSx for Windows File Server
Descripción general de la auditoría de acceso a archivosAudite los destinos del registro de eventosAuditoría del acceso a archivos y carpetasGestión de la auditoría de acceso a archivosMigración de sus controles de auditoríaVisualización de registros de eventos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Auditoría de acceso a archivos

Amazon FSx for Windows File Server admite auditar los accesos de los usuarios finales a archivos, carpetas y recursos compartidos de archivos. Puede optar por enviar los registros de eventos de auditoría a un amplio conjunto de otrosAWS servicios que permiten consultar, procesar, almacenar y archivar los registros, emitir notificaciones y activar acciones para avanzar aún más en sus objetivos de seguridad y cumplimiento.

Descripción general de la auditoría de acceso a archivos

La auditoría de acceso a archivos le permite registrar los accesos de los usuarios finales a archivos, carpetas y archivos compartidos individuales en función de los controles de auditoría definidos. Los controles de auditoría también se conocen como listas de control de acceso al sistema (SACL) de NTFS. Si ya ha configurado los controles de auditoría en sus datos de archivos existentes, puede aprovechar la auditoría de acceso a los archivos creando un nuevo sistema de archivos de Amazon FSx for Windows File Server y migrando sus datos.

Amazon FSx admite los siguientes eventos de auditoría proporcionados por Windows para los accesos a archivos, carpetas y archivos compartidos:

  • Para el acceso a los archivos, admite: Todos, recorrer carpetas, ejecutar archivo, enumerar carpetas, leer datos, leer atributos, crear archivos, escribir datos, crear carpetas, agregar datos, escribir atributos, eliminar subcarpetas y archivos, eliminar, leer permisos, cambiar permisos y tomar posesión.

  • Para los accesos a archivos compartidos, admite: Conectarse a un recurso compartido de archivos.

En todos los accesos a archivos, carpetas y archivos compartidos, Amazon FSx admite el registro de los intentos exitosos (por ejemplo, un usuario con permisos suficientes para acceder correctamente a un archivo o a un recurso compartido de archivos), los intentos fallidos o ambos.

Puede configurar si desea que la auditoría de acceso solo se realice en archivos y carpetas, solo en los recursos compartidos de archivos o en ambos. También puede configurar qué tipos de accesos se deben registrar (solo los intentos exitosos, solo los intentos fallidos o ambos). También puede desactivar la auditoría de acceso a archivos en cualquier momento.

nota

La auditoría de acceso a archivos registra los datos de acceso de los usuarios finales únicamente desde el momento en que se habilitó. Es decir, la auditoría de acceso a archivos no genera registros de eventos de auditoría sobre la actividad de acceso a archivos, carpetas y archivos compartidos de los usuarios finales que se produjo antes de que se habilitara la auditoría de acceso a los archivos.

La velocidad máxima de eventos de auditoría de acceso admitidos es de 5000 eventos por segundo. Los eventos de auditoría de acceso no se generan para cada operación de lectura y escritura de archivos, sino que se generan una vez por operación de metadatos de archivo, por ejemplo, cuando un usuario crea, abre o elimina un archivo.

Audite los destinos del registro de eventos

Cuando está habilitada, la función de auditoría de acceso a archivos debe tener unAWS servicio configurado al que Amazon FSx envíe los registros de eventos de auditoría. El destino del registro de eventos de auditoría debe ser un flujo de registro de AmazonCloudWatch Logs en un grupo deCloudWatch registros de registros o un flujo de entrega de Amazon Kinesis Data Firehose. Puede elegir el destino de los registros de eventos de auditoría al crear el sistema de archivos de Amazon FSx for Windows File Server o, posteriormente, actualizándolo. Para obtener más información, consulte Gestión de la auditoría de acceso a archivos.

A continuación se presentan algunas recomendaciones que pueden ayudarle a decidir qué destino elegir para los registros de eventos de auditoría:

  • ElijaCloudWatch Registros si desea almacenar, ver y buscar los registros de eventos de auditoría en laCloudWatch consola de Amazon, ejecutar consultas en losCloudWatch registros mediante Logs Insights y activarCloudWatch alarmas o funciones Lambda.

  • Elija Kinesis Data Firehose si desea transmitir eventos de forma continua al almacenamiento de Amazon S3, a una base de datos de Amazon Redshift, a AmazonOpenSearch Service o a solucionesAWS asociadas (como Splunk o Datadog) para un análisis más detallado.

De forma predeterminada, Amazon FSx creará y utilizará un grupo de registro deCloudWatch registros predeterminado en su cuenta como destino del registro de eventos de auditoría. Si desea utilizar un grupo de registros deCloudWatch registros personalizado o utilizar Kinesis Data Firehose como destino del registro de eventos de auditoría, estos son los requisitos para los nombres y las ubicaciones del destino del registro de eventos de auditoría:

  • El nombre del grupo de registro deCloudWatch registros debe comenzar con el/aws/fsx/ prefijo. Si no tiene un grupo de registros deCloudWatch registros existente al crear o actualizar un sistema de archivos en la consola, Amazon FSx puede crear y usar un flujo de registro predeterminado en el grupo deCloudWatch registros/aws/fsx/windows. Si no desea utilizar el grupo de registros predeterminado, la interfaz de usuario de configuración le permite crear un grupo deCloudWatch registros al crear o actualizar el sistema de archivos en la consola.

  • El nombre del flujo de entrega de Kinesis Data Firehose debe comenzar con elaws-fsx- prefijo. Si no tiene ningún flujo de entrega de Kinesis Data Firehose, puede crear uno al crear o actualizar su sistema de archivos en la consola.

  • El flujo de entrega de Kinesis Data Firehose debe configurarse para que se utiliceDirect PUT como su fuente. No puede usar una transmisión de datos de Kinesis existente como fuente de datos para su transmisión de entrega.

  • El destino (ya sea el grupo de registro deCloudWatch registros o del flujo de entrega de Kinesis Data Firehose) debe estar en la mismaAWS partición deRegión de AWS, yCuenta de AWS como su sistema de archivos de Amazon FSx.

Puede cambiar el destino del registro de eventos de auditoría en cualquier momento (por ejemplo, deCloudWatch Logs a Kinesis Data Firehose). Al hacerlo, los nuevos registros de eventos de auditoría se envían únicamente al nuevo destino.

Entrega del registro de eventos de auditoría con el mejor esfuerzo

Por lo general, los registros de eventos de auditoría se entregan en minutos, pero a veces pueden tardar más. En muy raras ocasiones, es posible que se pierdan los registros del registro de eventos de auditoría. Si su caso de uso requiere una semántica específica (por ejemplo, asegurarse de que no se omita ningún evento de auditoría), le recomendamos que tenga en cuenta los eventos omitidos al diseñar sus flujos de trabajo. Puede comprobar si hay eventos omitidos escaneando la estructura de archivos y carpetas del sistema de archivos.

Auditoría del acceso a archivos y carpetas

Debe establecer controles de auditoría en los archivos y carpetas que desea auditar para detectar los intentos de acceso de los usuarios. Los controles de auditoría también se conocen como listas de control de acceso al sistema (SACL) de NTFS.

Los controles de auditoría se configuran mediante la interfaz gráfica de usuario nativa de Windows o mediante programación mediantePowerShell comandos de Windows. Si la herencia está habilitada, normalmente tendrá que establecer controles de auditoría solo en las carpetas de nivel superior a las que desee registrar los accesos.

Uso de la GUI de Windows para configurar el acceso a la auditoría

Para utilizar una interfaz gráfica de usuario para configurar los controles de auditoría en los archivos y carpetas, utilice el Explorador de archivos de Windows. En un archivo o carpeta determinados, abra el Explorador de archivos de Windows y seleccione la pestaña Propiedades > Seguridad > Avanzadas > Auditoría.

En el siguiente ejemplo de control de auditoría, se auditan los eventos satisfactorios de una carpeta. Se emitirá una entrada en el registro de eventos de Windows cada vez que el usuario administrador abra ese identificador para que lo lea correctamente.

La pestaña Auditoría del Explorador de archivos de Windows se utiliza para establecer los controles de auditoría en los archivos y carpetas para la auditoría del acceso a los archivos de Windows.

El campo Tipo indica las acciones que desea auditar. Defina este campo como Correcto para auditar los intentos satisfactorios, Error al auditar los intentos fallidos o Todo para auditar tanto los intentos exitosos como los fallidos.

Para obtener más información sobre los campos de entrada de auditoría, consulte Aplicar una política de auditoría básica a un archivo o carpeta de la documentación de Microsoft.

Uso dePowerShell comandos para configurar el acceso a la auditoría

Puede utilizar elSet-Acl comando Microsoft Windows para configurar el SACL de auditoría en cualquier archivo o carpeta. Para obtener información acerca de este comando, consulte la documentación de Microsoft Set-Acl.

A continuación se muestra un ejemplo del uso de una serie dePowerShell comandos y variables para configurar el acceso de auditoría para los intentos exitosos. Puede adaptar estos comandos de ejemplo para que se ajusten a las necesidades de su sistema de archivos.

$path = "C:\Users\TestUser\Desktop\DemoTest\"

$ACL = Get-Acl $path

$ACL | Format-List

$AuditUser = "TESTDOMAIN\TestUser"

$AuditRules = "FullControl"

$InheritType = "ContainerInherit,ObjectInherit"

$AuditType = "Success"

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)

$ACL.SetAuditRule($AccessRule)

$ACL | Set-Acl $path

Get-Acl $path -Audit | Format-List

Gestión de la auditoría de acceso a archivos

Puede habilitar la auditoría de acceso a archivos al crear un nuevo sistema de archivos de Amazon FSx for Windows File Server. La auditoría de acceso a archivos está desactivada de forma predeterminada al crear un sistema de archivos desde la consola de Amazon FSx.

En los sistemas de archivos existentes que tengan habilitada la auditoría de acceso a archivos, puede cambiar la configuración de auditoría del acceso a los archivos, incluido el cambio de los tipos de intentos de acceso para los accesos a archivos y archivos compartidos, y el destino del registro de eventos de auditoría. Puede realizar estas tareas con la consola o API deAWS CLI Amazon FSx.

nota

La auditoría de acceso a archivos solo se admite en los sistemas de archivos Amazon FSx for Windows File Server con una capacidad de procesamiento de 32 Mb/s o superior. No puede crear ni actualizar un sistema de archivos con una capacidad de procesamiento inferior a 32 Mb/s si la auditoría de acceso a los archivos está habilitada. Puede modificar la capacidad de procesamiento en cualquier momento después de crear el sistema de archivos. Para obtener más información, consulte Administración de la capacidad de desempeño.

  1. Abra la consola de Amazon FSx en https://console.aws.amazon.com/fsx/.

  2. Siga el procedimiento para crear un nuevo sistema de archivos descritoPaso 1: Crear el sistema de archivos en la sección Introducción.

  3. Abra la sección Auditoría: opcional. La auditoría de acceso a archivos está deshabilitado de forma predeterminada.

    La sección Auditoría: opcional del asistente para crear un sistema de archivos, muestra que la auditoría de acceso a los archivos está desactivada de forma predeterminada.

  4. Para habilitar y configurar la auditoría de acceso a archivos, haga lo siguiente.

    • Para Registrar el acceso a archivos y carpetas, seleccione el registro de los intentos exitosos o fallidos. El registro de archivos y carpetas está deshabilitado si no seleccionas ninguna opción.

    • Para Registrar el acceso a los archivos compartidos, seleccione el registro de los intentos exitosos o fallidos. Si no realiza ninguna selección, se deshabilita el registro para los archivos compartidos.

    • En Elegir un destino para el registro de eventos de auditoría, elija CloudWatchLogs o Kinesis Data Firehose. A continuación, seleccione un registro o flujo de entrega existente o cree uno nuevo. En elCloudWatch caso de los registros, Amazon FSx puede crear y utilizar un flujo de registro predeterminado en el grupo deCloudWatch registros/aws/fsx/windows.

    A continuación se muestra un ejemplo de una configuración de auditoría de acceso a archivos que auditará los intentos de acceso correctos y fallidos de los usuarios finales a archivos, carpetas y archivos compartidos. Los registros de eventos de auditoría se enviarán al destino predeterminado del grupo deCloudWatch/aws/fsx/windows registros de registros.

    Un ejemplo de configuración de auditoría de acceso a archivos para un sistema de archivos.

  5. Continúe con la siguiente sección del asistente de creación de sistemas de archivos.

Cuando el sistema de archivos está disponible, se habilita la función de auditoría de acceso a archivos.

  1. Al crear un nuevo sistema de archivos, utilice laAuditLogConfiguration propiedad con la operación de CreateFileSystemAPI para habilitar la auditoría de acceso a archivos para el nuevo sistema de archivos.

    aws fsx create-file-system \
  --file-system-type WINDOWS \
  --storage-capacity 300 \
  --subnet-ids subnet-123456 \
  --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
    FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
    AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'

  2. Cuando el sistema de archivos está disponible, se habilita la función de auditoría de acceso a archivos.

  1. Abra la consola de Amazon FSx en https://console.aws.amazon.com/fsx/.

  2. Vaya a Sistemas de archivos y seleccione el sistema de archivos de Windows para el que desee administrar la auditoría de acceso a los archivos.

  3. Seleccione la pestaña Administración.

  4. En el panel Auditoría de acceso a archivos, seleccione Administrar.

    Panel de auditoría de acceso a archivos de la consola FSx, que muestra la configuración de auditoría de acceso a archivos.

  5. En el cuadro de diálogo Administrar la configuración de auditoría de acceso a archivos, cambie la configuración deseada.

    Panel de auditoría de acceso a archivos de la consola FSx, utilice este panel para modificar las configuraciones de auditoría de acceso a archivos.

    • Para Registrar el acceso a archivos y carpetas, seleccione el registro de los intentos exitosos o fallidos. El registro de archivos y carpetas está deshabilitado si no seleccionas ninguna opción.

    • Para Registrar el acceso a los archivos compartidos, seleccione el registro de los intentos exitosos o fallidos. Si no realiza ninguna selección, se deshabilita el registro para los archivos compartidos.

    • En Elegir un destino para el registro de eventos de auditoría, elija CloudWatchLogs o Kinesis Data Firehose. A continuación, seleccione un registro o flujo de entrega existente o cree uno nuevo.

  6. Seleccione Guardar.

  • Utilice el comando update-file-systemCLI o la operación UpdateFileSystemde API equivalente.

    aws fsx update-file-system \
  --file-system-id fs-0123456789abcdef0 \
  --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
    FileShareAccessAuditLogLevel="FAILURE_ONLY", \
    AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'

Migración de sus controles de auditoría

Si ya ha configurado controles de auditoría (SACL) en sus datos de archivos existentes, puede crear un sistema de archivos Amazon FSx y migrar los datos a su nuevo sistema de archivos. Se recomienda utilizarAWS DataSync para transferir datos y las SACL asociadas a su sistema de archivos de Amazon FSx. Como solución alternativa, puede utilizar Robocopy (Robust File Copy). Para obtener más información, consulte Migración del almacenamiento de archivos existente a Amazon FSx.

Visualización de registros de eventos

Puede ver los registros de eventos de auditoría después de que Amazon FSx haya empezado a emitirlos. El lugar y la forma en que se ven los registros dependen del destino del registro de eventos de auditoría:

  • Para verCloudWatch los registros de registros, vaya a laCloudWatch consola y seleccione el grupo de registros y el flujo de registros a los que se envían los registros de eventos de auditoría. Para obtener más información, consulte Ver los datos de registro enviados aCloudWatch Logs en la Guía del usuario de AmazonCloudWatch Logs.

    Puede utilizarCloudWatch Logs Insights para buscar y analizar de forma interactiva sus datos de registro. Para obtener más información, consulte Análisis de datos de registro conCloudWatch Logs Insights, en la Guía del usuario de AmazonCloudWatch Logs.

    También puede exportar los registros de eventos de auditoría a Amazon S3. Para obtener más información, consulte Exportación de datos de registro a Amazon S3, también en la Guía del usuario de AmazonCloudWatch Logs.

  • No puede ver los registros de eventos de auditoría en Kinesis Data Firehose. Sin embargo, puede configurar Kinesis Data Firehose para que reenvíe los registros a un destino desde el que pueda leer. Los destinos incluyen Amazon S3, Amazon Redshift, AmazonOpenSearch Service y soluciones asociadas, como Splunk y Datadog. Para obtener más información, consulte Elegir un destino en la Guía para desarrolladores de Amazon Kinesis Data Firehose.

Campos de eventos de auditoría

Esta sección proporciona descripciones de la información de los registros de eventos de auditoría y ejemplos de eventos de auditoría.

A continuación se describen los campos principales de un evento de auditoría de Windows.

  • EventID hace referencia al identificador de eventos del registro de eventos de Windows definido por Microsoft. Consulte la documentación de Microsoft para obtener información sobre los eventos del sistema de archivos y los eventos de uso compartido de archivos.

  • SubjectUserNamehace referencia al usuario que realiza el acceso.

  • ObjectNamehace referencia al archivo, la carpeta o el recurso compartido de archivos de destino al que se ha accedido.

  • ShareNameestá disponible para los eventos que se generan para el acceso a archivos compartidos. Por ejemplo,EventID 5140 se genera cuando se accede a un objeto compartido de red.

  • IpAddresshace referencia al cliente que inició el evento para los eventos de uso compartido de archivos.

  • Las palabras clave, cuando están disponibles, hacen referencia a si el acceso al archivo se ha realizado correctamente o se ha producido un error. Para los accesos satisfactorios, el valor es0x8020000000000000. Para los accesos fallidos, el valor es0x8010000000000000.

  • TimeCreatedSystemTimehace referencia a la hora en que se generó el evento en el sistema y se muestra en <YYYY-MM-DDThh:mm:ss.s>formato Z.

  • Computadora hace referencia al nombre DNS del sistema de archivos Windows RemotePowerShell Endpoint y se puede utilizar para identificar el sistema de archivos.

  • AccessMask, cuando está disponible, hace referencia al tipo de acceso a los archivos realizado (por ejemplo,ReadData,WriteData).

  • AccessListhace referencia al acceso solicitado o concedido a un objeto. Para obtener más información, consulte la tabla siguiente y la documentación de Microsoft (por ejemplo, en el evento 4556).

Tipo de acceso Máscara de acceso Valor

Lea el directorio de datos o listas

0x1

%4416

Escribir datos o añadir archivos

0x2

%417

Anexar datos o agregar subdirectorio

0x4

%418

Leer atributos extendidos

0x8

%419

Escribir atributos extendidos

0x10

%4420

Trazar o recorrer

0x20

%421

Eliminar niño

0x40

%4422

Leer atributos

0x80

%423

Atributos de escritura

0x100

%424

Eliminar

0x10000

%1537

Lea ACL

0x20000

%1538

Escriba ACL

0x40000

%1539

Nombre del propietario

0x80000

%1540

Sincronizar

0x100000

%1541

ACL de seguridad de acceso

0x1000000

%1542

A continuación se presentan algunos eventos clave con ejemplos. Tenga en cuenta que el XML está modificado para que se pueda leer.

El ID de evento 4660 se registra cuando se elimina un objeto.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>

El ID de evento 4659 se registra en una solicitud para eliminar un archivo.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>

El ID de evento 4663 se registra cuando se ha realizado una operación específica en el objeto. El siguiente ejemplo muestra la lectura de datos de un archivo, desde los que se pueden interpretarAccessList %%4416.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>

El siguiente ejemplo muestra cómo escribir/anexar datos de un archivo, desde los que se pueden interpretarAccessList %%4417.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>

El ID de evento 4656 indica que se solicitó un acceso específico para un objeto. En el siguiente ejemplo, la solicitud de lectura se inició paraObjectName «probar permanentemente» y fue un intento fallido, como se ve en el valor Palabras clave de0x8010000000000000.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>

El ID de evento 4670 se registra cuando se cambian los permisos de un objeto. El siguiente ejemplo muestra que el usuario «admin» modificó el permiso deObjectName «permtest» para añadir permisos al SID «S-1-5-21-658495921-4185342820-3824891517-1113". Consulte la documentación de Microsoft para obtener más información sobre cómo interpretar los permisos.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>

El ID de evento 5140 se registra cada vez que se accede a un recurso compartido de archivos.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>

El ID de evento 5145 se registra cuando se deniega el acceso en el nivel de uso compartido de archivos. El siguiente ejemplo muestra que se denegó el acceso aShareName «demoshare01".

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>

Si usaCloudWatch Logs Insights para buscar sus datos de registro, puede ejecutar consultas en los campos de eventos, como se muestra en los siguientes ejemplos:

  • Para consultar un identificador de evento específico:

    fields @message
   | filter @message like /4660/

  • Para consultar todos los eventos que coincidan con un nombre de archivo determinado:

    fields @message
   | filter @message like /event.txt/

Para obtener más información sobre el lenguaje de consulta deCloudWatch Logs Insights, consulte Análisis de datos de registro conCloudWatch Logs Insights, en la Guía del usuario de AmazonCloudWatch Logs.