journaux d'accès aux boîtes aux lettres Journaux de contrôle d'accès Journaux d'authentification Logs des fournisseurs de disponibilité

Surveillance des journaux WorkMail d'audit Amazon

Vous pouvez utiliser les journaux d'audit pour contrôler l'accès aux boîtes aux lettres de votre WorkMail organisation Amazon. Amazon WorkMail enregistre quatre types d'événements d'audit qui peuvent être publiés sur CloudWatch Logs, Amazon S3 ou Amazon Firehouse. Vous pouvez utiliser les journaux d'audit pour surveiller l'interaction des utilisateurs avec les boîtes aux lettres de votre organisation, les tentatives d'authentification, l'évaluation des règles de contrôle d'accès et effectuer des appels aux fournisseurs de disponibilité vers des systèmes externes. Pour plus d'informations sur la configuration de la journalisation des audits, consultezActiver la journalisation des audits.

Les sections suivantes décrivent les événements d'audit enregistrés par Amazon WorkMail, le moment où les événements sont transmis et les informations relatives aux champs des événements.

journaux d'accès aux boîtes aux lettres

Les événements d'accès aux boîtes aux lettres fournissent des informations sur l'action entreprise (ou tentée) sur tel ou tel objet de boîte aux lettres. Un événement d'accès à la boîte aux lettres est généré pour chaque opération que vous tentez d'exécuter sur un élément ou un dossier d'une boîte aux lettres. Ces événements sont utiles pour auditer l'accès aux données des boîtes aux lettres.

Champ	Description
event_timestamp	Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix.
request_id	L'ID qui identifie de manière unique la demande.
organization_arn	L'ARN de l' WorkMail organisation & Amazon à laquelle appartient l'utilisateur authentifié.
user_id	L'ID de l'utilisateur authentifié.
imitateur_id	L'identifiant de l'imitateur. Présent uniquement si la fonction d'usurpation d'identité a été utilisée pour la demande.
protocole ;	Le protocole utilisé. Le protocole peut être :`AutoDiscover`, `EWSIMAP`,`WindowsOutlook`,`ActiveSync`,`SMTP`,`WebMail`,`IncomingEmail`, ou`OutgoingEmail`.
adresse IP source	Adresse IP source de la demande.
user_agent	L'agent utilisateur à l'origine de la demande.
action	L'action effectuée sur l'objet, qui peut être : `readread_hierarchy`,`read_summary`,`read_attachment`,`read_permissions`,`create`,`update`,`update_permissions`, `update_read_statedelete`,`submit_email_for_sending`,`abort_sending_email`,`move`,`move_to`,`copy`, ou`copy_to`.
owner_id	L'ID de l'utilisateur propriétaire de l'objet sur lequel on agit.
object_type	Type d'objet, qui peut être : dossier, message ou pièce jointe.
item_id	L'ID qui identifie de manière unique le message faisant l'objet de l'événement ou contenant la pièce jointe faisant l'objet de l'événement.
chemin_dossier	Le chemin du dossier sur lequel on agit ou le chemin du dossier contenant l'élément sur lequel on agit.
identifiant_dossier	ID identifiant de manière unique le dossier faisant l'objet de l'événement ou contenant l'objet objet de l'événement.
chemin_pièce jointe	Le chemin des noms d'affichage vers la pièce jointe concernée.
action_autorisée	Si l'action a été autorisée. Cela peut être vrai ou faux.

Journaux de contrôle d'accès

Des événements de contrôle d'accès sont générés chaque fois qu'une règle de contrôle d'accès est évaluée. Ces journaux sont utiles pour auditer les accès interdits ou pour déboguer les configurations de contrôle d'accès.

Champ	Description
event_timestamp	Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix.
request_id	L'ID qui identifie de manière unique la demande.
organization_arn	L'ARN de l' WorkMail organisation à laquelle appartient l'utilisateur authentifié.
user_id	L'ID de l'utilisateur authentifié.
imitateur_id	L'identifiant de l'imitateur. Présent uniquement si la fonction d'usurpation d'identité a été utilisée pour la demande.
protocole ;	Le protocole utilisé, qui peut être : `AutoDiscoverEWS`,`IMAP`,`WindowsOutlook`, `ActiveSyncSMTP`,`WebMail`,`IncomingEmail`, ou`OutgoingEmail`.
adresse IP source	Adresse IP source de la demande.
scope	Le champ d'application de la règle, qui peut être : `AccessControlDeviceAccessControl`, ou`ImpersonationAccessControl`.
rule_id	ID de la règle de contrôle d'accès correspondante. Lorsqu'aucune règle ne correspond, rule_id n'est pas disponible.
accès_accordé	Si l'accès a été autorisé. Cela peut être vrai ou faux.

Journaux d'authentification

Les événements d'authentification contiennent des informations sur les tentatives d'authentification.

Note

Les événements d'authentification ne sont pas générés pour les événements d'authentification via l' WorkMail WebMail application Amazon.

Champ	Description
event_timestamp	Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix.
request_id	L'ID qui identifie de manière unique la demande.
organization_arn	L'ARN de l' WorkMail organisation à laquelle appartient l'utilisateur authentifié.
user_id	L'ID de l'utilisateur authentifié.
utilisateur	Le nom d'utilisateur avec lequel l'authentification a été tentée.
protocole ;	Le protocole utilisé, qui peut être : `AutoDiscoverEWS`,`IMAP`,`WindowsOutlook`, `ActiveSyncSMTP`,`WebMail`,`IncomingEmail`, ou`OutgoingEmail`.
adresse IP source	Adresse IP source de la demande.
user_agent	L'agent utilisateur à l'origine de la demande.
méthode	La méthode d'authentification. Actuellement, seule la version de base est prise en charge.
auth_successful	Si la tentative d'authentification a réussi. Cela peut être vrai ou faux.
auth_failed_reason	La raison de l'échec de l'authentification. Présent uniquement en cas d'échec de l'authentification.

Logs des fournisseurs de disponibilité

Les événements relatifs aux fournisseurs de disponibilité sont générés pour chaque demande de disponibilité WorkMail qu'Amazon effectue en votre nom auprès du fournisseur de disponibilité configuré. Ces événements sont utiles pour débugger la configuration de votre fournisseur de disponibilité.

Champ	Description
event_timestamp	Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix.
request_id	L'ID qui identifie de manière unique la demande.
organization_arn	L'ARN de l' WorkMail organisation à laquelle appartient l'utilisateur authentifié.
user_id	L'ID de l'utilisateur authentifié.
type	Le type de fournisseur de disponibilité invoqué, qui peut être : `EWS` ou`LAMBDA`.
domaine	Domaine pour lequel la disponibilité est obtenue.
fonction_arn	L'ARN du Lambda invoqué, si le type est LAMBDA. Dans le cas contraire, ce champ n'est pas présent.
ews_endpoint	Le point de terminaison EWS est de type EWS. Dans le cas contraire, ce champ n'est pas présent.
error_message	Message décrivant la cause de l'échec. Si la demande est réussie, ce champ n'est pas présent.
événement_disponibilité réussi	Si la demande de disponibilité a été traitée avec succès.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveillance des journaux d'événements WorkMail liés aux e-mails Amazon

Utilisation d' CloudWatch Insights avec Amazon WorkMail