Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Supervisión de los registros WorkMail de auditoría de Amazon
Puedes usar los registros de auditoría para supervisar el acceso a los buzones de correo de tu WorkMail organización Amazon. Amazon WorkMail registra cuatro tipos de eventos de auditoría y estos eventos se pueden publicar en CloudWatch Logs, Amazon S3 o Amazon Firehouse. Puede utilizar los registros de auditoría para supervisar la interacción de los usuarios con los buzones de correo de su organización, los intentos de autenticación, la evaluación de las reglas de control de acceso y realizar llamadas a los proveedores de disponibilidad a sistemas externos. Para obtener información sobre la configuración de los registros de auditoría, consulteHabilitar el registro de auditoría.
En las siguientes secciones se describen los eventos de auditoría registrados por Amazon WorkMail, cuándo se transmiten los eventos y la información sobre los campos de eventos.
Registros de acceso al buzón
Los eventos de acceso a los buzones proporcionan información sobre qué acción se ha realizado (o intentado) en cada objeto del buzón. Se genera un evento de acceso al buzón por cada operación que se intenta ejecutar en un elemento o carpeta de un buzón de correo. Estos eventos son útiles para auditar el acceso a los datos del buzón.
| Campo | Descripción |
|---|---|
|
event_timestamp |
Cuándo ocurrió el evento, en milisegundos desde la época de Unix. |
|
request_id |
El ID que identifica de forma exclusiva la solicitud. |
|
organization_arn |
El ARN de la WorkMail organización & Amazon a la que pertenece el usuario autenticado. |
|
user_id |
El ID del usuario autenticado. |
|
impersonator_id |
El ID del imitador. Está presente solo si se utilizó la función de suplantación de identidad para la solicitud. |
|
protocol |
El protocolo utilizado. El protocolo puede ser: |
|
source_ip |
La dirección IP de origen de la solicitud. |
|
user_agent |
El agente de usuario que realizó la solicitud. |
|
acción |
La acción realizada sobre el objeto, que puede ser: |
|
owner_id |
El ID del usuario propietario del objeto sobre el que se está actuando. |
|
object_type |
El tipo de objeto, que puede ser: carpeta, mensaje o adjunto. |
|
item_id |
El identificador que identifica de forma exclusiva el mensaje que es el asunto del evento o que contiene el archivo adjunto que es el asunto del evento. |
|
folder_path |
La ruta de la carpeta sobre la que se está actuando o la ruta de la carpeta que contiene el elemento sobre el que se está actuando. |
|
folder_id |
El identificador que identifica de forma exclusiva la carpeta que es el tema del evento o que contiene el objeto que es el tema del evento. |
|
attachment_path |
La ruta de los nombres para mostrar al archivo adjunto afectado. |
|
action_allowed |
Si la acción estaba permitida. Puede ser verdadero o falso. |
Registros de control de acceso
Los eventos de control de acceso se generan cada vez que se evalúa una regla de control de acceso. Estos registros son útiles para auditar los accesos prohibidos o depurar las configuraciones de control de acceso.
| Campo | Descripción |
|---|---|
|
event_timestamp |
Cuándo ocurrió el evento, en milisegundos desde la época de Unix. |
|
request_id |
El ID que identifica de forma exclusiva la solicitud. |
|
organization_arn |
El ARN de la WorkMail organización a la que pertenece el usuario autenticado. |
|
user_id |
El ID del usuario autenticado. |
|
impersonator_id |
El ID del imitador. Está presente solo si se utilizó la función de suplantación de identidad para la solicitud. |
|
protocol |
El protocolo utilizado, que puede ser: |
|
source_ip |
La dirección IP de origen de la solicitud. |
|
scope |
El alcance de la regla, que puede ser: |
|
rule_id |
El ID de la regla de control de acceso coincidente. Si no hay reglas coincidentes, el rule_id no está disponible. |
|
access_granted |
Si se permitía el acceso. Puede ser verdadero o falso. |
Registros de autenticación
Los eventos de autenticación contienen información sobre los intentos de autenticación.
nota
Los eventos de autenticación no se generan para los eventos de autenticación a través de la WorkMail WebMail aplicación Amazon.
| Campo | Descripción |
|---|---|
|
event_timestamp |
Cuándo ocurrió el evento, en milisegundos desde la época de Unix. |
|
request_id |
El ID que identifica de forma exclusiva la solicitud. |
|
organization_arn |
El ARN de la WorkMail organización a la que pertenece el usuario autenticado. |
|
user_id |
El ID del usuario autenticado. |
|
usuario |
El nombre de usuario con el que se intentó la autenticación. |
|
protocol |
El protocolo utilizado, que puede ser: |
|
source_ip |
La dirección IP de origen de la solicitud. |
|
user_agent |
El agente de usuario que realizó la solicitud. |
|
method |
El método de autenticación. Actualmente, solo se admite el básico. |
|
auth_successful |
Si el intento de autenticación se ha realizado correctamente. Puede ser verdadero o falso. |
|
auth_failed_reason |
El motivo del error de autenticación. Está presente solo si la autenticación ha fallado. |
Registros del proveedor de disponibilidad
Los eventos del proveedor de disponibilidad se generan para cada solicitud de disponibilidad WorkMail que Amazon realiza en tu nombre al proveedor de disponibilidad configurado. Estos eventos son útiles para depurar la configuración del proveedor de disponibilidad.
| Campo | Descripción |
|---|---|
|
event_timestamp |
Cuándo ocurrió el evento, en milisegundos desde la época de Unix. |
|
request_id |
El ID que identifica de forma exclusiva la solicitud. |
|
organization_arn |
El ARN de la WorkMail organización a la que pertenece el usuario autenticado. |
|
user_id |
El ID del usuario autenticado. |
|
type |
El tipo de proveedor de disponibilidad que se invoca, que puede ser: |
|
Dominio |
El dominio para el que se obtiene la disponibilidad. |
|
function_arn |
El ARN de la Lambda invocada, si el tipo es LAMBDA. De lo contrario, este campo no está presente. |
|
news_endpoint |
El punto final de EWS es de tipo EWS. De lo contrario, este campo no está presente. |
|
error_message |
El mensaje que describe la causa del error. Si la solicitud se ha realizado correctamente, este campo no está presente. |
|
availability_event_successful |
Si la solicitud de disponibilidad se atendió correctamente. |
