Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Surveillance des journaux WorkMail d'audit Amazon
Vous pouvez utiliser les journaux d'audit pour contrôler l'accès aux boîtes aux lettres de votre WorkMail organisation Amazon. Amazon WorkMail enregistre quatre types d'événements d'audit qui peuvent être publiés sur CloudWatch Logs, Amazon S3 ou Amazon Firehouse. Vous pouvez utiliser les journaux d'audit pour surveiller l'interaction des utilisateurs avec les boîtes aux lettres de votre organisation, les tentatives d'authentification, l'évaluation des règles de contrôle d'accès et effectuer des appels aux fournisseurs de disponibilité vers des systèmes externes. Pour plus d'informations sur la configuration de la journalisation des audits, consultezActiver la journalisation des audits.
Les sections suivantes décrivent les événements d'audit enregistrés par Amazon WorkMail, le moment où les événements sont transmis et les informations relatives aux champs des événements.
journaux d'accès aux boîtes aux lettres
Les événements d'accès aux boîtes aux lettres fournissent des informations sur l'action entreprise (ou tentée) sur tel ou tel objet de boîte aux lettres. Un événement d'accès à la boîte aux lettres est généré pour chaque opération que vous tentez d'exécuter sur un élément ou un dossier d'une boîte aux lettres. Ces événements sont utiles pour auditer l'accès aux données des boîtes aux lettres.
Champ | Description |
---|---|
event_timestamp |
Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix. |
request_id |
L'ID qui identifie de manière unique la demande. |
organization_arn |
L'ARN de l' WorkMail organisation & Amazon à laquelle appartient l'utilisateur authentifié. |
user_id |
L'ID de l'utilisateur authentifié. |
imitateur_id |
L'identifiant de l'imitateur. Présent uniquement si la fonction d'usurpation d'identité a été utilisée pour la demande. |
protocole ; |
Le protocole utilisé. Le protocole peut être : |
adresse IP source |
Adresse IP source de la demande. |
user_agent |
L'agent utilisateur à l'origine de la demande. |
action |
L'action effectuée sur l'objet, qui peut être : |
owner_id |
L'ID de l'utilisateur propriétaire de l'objet sur lequel on agit. |
object_type |
Type d'objet, qui peut être : dossier, message ou pièce jointe. |
item_id |
L'ID qui identifie de manière unique le message faisant l'objet de l'événement ou contenant la pièce jointe faisant l'objet de l'événement. |
chemin_dossier |
Le chemin du dossier sur lequel on agit ou le chemin du dossier contenant l'élément sur lequel on agit. |
identifiant_dossier |
ID identifiant de manière unique le dossier faisant l'objet de l'événement ou contenant l'objet objet de l'événement. |
chemin_pièce jointe |
Le chemin des noms d'affichage vers la pièce jointe concernée. |
action_autorisée |
Si l'action a été autorisée. Cela peut être vrai ou faux. |
Journaux de contrôle d'accès
Des événements de contrôle d'accès sont générés chaque fois qu'une règle de contrôle d'accès est évaluée. Ces journaux sont utiles pour auditer les accès interdits ou pour déboguer les configurations de contrôle d'accès.
Champ | Description |
---|---|
event_timestamp |
Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix. |
request_id |
L'ID qui identifie de manière unique la demande. |
organization_arn |
L'ARN de l' WorkMail organisation à laquelle appartient l'utilisateur authentifié. |
user_id |
L'ID de l'utilisateur authentifié. |
imitateur_id |
L'identifiant de l'imitateur. Présent uniquement si la fonction d'usurpation d'identité a été utilisée pour la demande. |
protocole ; |
Le protocole utilisé, qui peut être : |
adresse IP source |
Adresse IP source de la demande. |
scope |
Le champ d'application de la règle, qui peut être : |
rule_id |
ID de la règle de contrôle d'accès correspondante. Lorsqu'aucune règle ne correspond, rule_id n'est pas disponible. |
accès_accordé |
Si l'accès a été autorisé. Cela peut être vrai ou faux. |
Journaux d'authentification
Les événements d'authentification contiennent des informations sur les tentatives d'authentification.
Note
Les événements d'authentification ne sont pas générés pour les événements d'authentification via l' WorkMail WebMail application Amazon.
Champ | Description |
---|---|
event_timestamp |
Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix. |
request_id |
L'ID qui identifie de manière unique la demande. |
organization_arn |
L'ARN de l' WorkMail organisation à laquelle appartient l'utilisateur authentifié. |
user_id |
L'ID de l'utilisateur authentifié. |
utilisateur |
Le nom d'utilisateur avec lequel l'authentification a été tentée. |
protocole ; |
Le protocole utilisé, qui peut être : |
adresse IP source |
Adresse IP source de la demande. |
user_agent |
L'agent utilisateur à l'origine de la demande. |
méthode |
La méthode d'authentification. Actuellement, seule la version de base est prise en charge. |
auth_successful |
Si la tentative d'authentification a réussi. Cela peut être vrai ou faux. |
auth_failed_reason |
La raison de l'échec de l'authentification. Présent uniquement en cas d'échec de l'authentification. |
Logs des fournisseurs de disponibilité
Les événements relatifs aux fournisseurs de disponibilité sont générés pour chaque demande de disponibilité WorkMail qu'Amazon effectue en votre nom auprès du fournisseur de disponibilité configuré. Ces événements sont utiles pour débugger la configuration de votre fournisseur de disponibilité.
Champ | Description |
---|---|
event_timestamp |
Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix. |
request_id |
L'ID qui identifie de manière unique la demande. |
organization_arn |
L'ARN de l' WorkMail organisation à laquelle appartient l'utilisateur authentifié. |
user_id |
L'ID de l'utilisateur authentifié. |
type |
Le type de fournisseur de disponibilité invoqué, qui peut être : |
domaine |
Domaine pour lequel la disponibilité est obtenue. |
fonction_arn |
L'ARN du Lambda invoqué, si le type est LAMBDA. Dans le cas contraire, ce champ n'est pas présent. |
ews_endpoint |
Le point de terminaison EWS est de type EWS. Dans le cas contraire, ce champ n'est pas présent. |
error_message |
Message décrivant la cause de l'échec. Si la demande est réussie, ce champ n'est pas présent. |
événement_disponibilité réussi |
Si la demande de disponibilité a été traitée avec succès. |