Mencatat akses pengguna akhir dengan audit akses file - Amazon FSx untuk Server File Windows
Tujuan log event auditMemigrasi kendali audit AndaMelihat log event

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mencatat akses pengguna akhir dengan audit akses file

Amazon FSx untuk Windows File Server mendukung audit akses pengguna akhir ke file, folder, dan berbagi file. Anda dapat memilih untuk mengirim log peristiwa audit sistem file ke AWS layanan lain yang menawarkan serangkaian fitur yang kaya. Ini termasuk memungkinkan kueri, pemrosesan, penyimpanan dan pengarsipan log, penerbitan pemberitahuan, dan tindakan pemicu untuk lebih memajukan tujuan keamanan dan kepatuhan Anda.

Untuk informasi selengkapnya tentang penggunaan audit akses file untuk mendapatkan wawasan tentang pola akses dan menerapkan pemberitahuan keamanan untuk aktivitas pengguna akhir, lihat Wawasan pola akses penyimpanan file dan Menerapkan pemberitahuan keamanan untuk aktivitas pengguna akhir.

catatan

Audit akses file hanya didukung FSx untuk sistem file Windows dengan kapasitas throughput 32 MBps atau lebih besar. Anda dapat memodifikasi kapasitas throughput pada sistem file yang ada. Untuk informasi selengkapnya, lihat Mengelola kapasitas throughput FSx untuk sistem file Windows File Server.

Audit akses file memungkinkan Anda merekam akses pengguna akhir atas file tunggal, folder, dan akses berbagi file berdasarkan kendali audit yang telah Anda tentukan. Kontrol audit juga dikenal sebagai daftar kontrol akses NTFS sistem (SACLs). Jika Anda sudah memiliki kontrol audit yang disiapkan pada data file yang ada, Anda dapat memanfaatkan audit akses file dengan membuat sistem file Amazon FSx untuk Windows File Server baru dan memigrasikan data Anda.

Amazon FSx mendukung peristiwa audit Windows berikut untuk akses berbagi file, folder, dan file:

  • Untuk akses file, akses file men-support: Semua, Melintasi folder / Jalankan file, Mencantumkan folder / Membaca data, Membaca atribut, Membuat file / Menulis data, Membuat folder / Menambahkan data, Menulis atribut, Menghapus subfolder dan file, Hapus Izin, Baca izin, Ubah izin, dan Ambil kepemilikan.

  • Untuk akses berbagi file, ini mendukung: Connect to a file share.

Di seluruh akses file, folder, dan berbagi file, Amazon FSx mendukung pencatatan upaya yang berhasil (seperti pengguna dengan izin yang cukup berhasil mengakses file atau berbagi file), upaya gagal, atau keduanya.

Anda dapat mengkonfigurasi apakah Anda ingin melakukan audit akses hanya pada file dan folder, hanya pada akses berbagi file, atau keduanya. Anda juga dapat mengkonfigurasi jenis akses mana yang harus dicatat (upaya berhasil saja, upaya gagal saja, atau keduanya). Anda juga dapat menonaktifkan audit akses file kapan saja.

catatan

Pengauditan akses file mencatat data akses pengguna akhir hanya sejak diaktifkan. Artinya, audit akses file tidak menghasilkan log peristiwa audit dari file pengguna akhir, folder, dan aktivitas akses berbagi file yang terjadi sebelum audit akses file diaktifkan.

Tingkat maksimum event audit akses yang di-support adalah 5.000 event per detik. Akses event audit tidak dibuat untuk operasi baca dan tulis setiap file, tetapi dibuat satu kali per operasi metadata file, seperti ketika pengguna membuat, membuka, atau menghapus file.

Topik

Tujuan log event audit

Saat mengaktifkan audit akses file, Anda harus mengonfigurasi AWS layanan tempat Amazon FSx mengirimkan log peristiwa audit. Anda dapat mengirim log peristiwa audit ke aliran CloudWatch log Amazon Logs di grup CloudWatch log Log atau aliran pengiriman Amazon Data Firehose. Anda memilih tujuan log peristiwa audit baik saat membuat sistem file Amazon FSx untuk Windows File Server, atau kapan saja setelahnya dengan memperbarui sistem file yang ada. Untuk informasi selengkapnya, lihat Mengelola audit akses file.

Berikut ini adalah beberapa rekomendasi yang dapat membantu Anda memutuskan tujuan audit event log yang mana yang akan dipilih:

  • Pilih CloudWatch Log jika Anda ingin menyimpan, melihat, dan mencari log peristiwa audit di CloudWatch konsol Amazon, jalankan kueri di CloudWatch log menggunakan Wawasan Log, dan memicu CloudWatch alarm atau fungsi Lambda.

  • Pilih Amazon Data Firehose jika Anda ingin terus melakukan streaming peristiwa ke penyimpanan di Amazon S3, ke database di Amazon Redshift, ke OpenSearch Amazon Service, atau ke solusi Mitra seperti Splunk atau Datadog AWS untuk analisis lebih lanjut.

Secara default, Amazon FSx akan membuat dan menggunakan grup CloudWatch log Log default di akun Anda sebagai tujuan log peristiwa audit. Jika Anda ingin menggunakan grup CloudWatch log Log kustom atau menggunakan Firehose sebagai tujuan log peristiwa audit, berikut adalah persyaratan untuk nama dan lokasi tujuan log peristiwa audit:

  • Nama grup CloudWatch log Log harus dimulai dengan /aws/fsx/ awalan. Jika Anda tidak memiliki grup CloudWatch log Log saat membuat atau memperbarui sistem file di konsol, Amazon FSx dapat membuat dan menggunakan aliran log default di grup CloudWatch /aws/fsx/windows log Log. Jika Anda tidak ingin menggunakan grup log default, UI konfigurasi memungkinkan Anda membuat grup CloudWatch log Log saat membuat atau memperbarui sistem file di konsol.

  • Nama aliran pengiriman Firehose harus dimulai dengan awalan. aws-fsx- Jika Anda tidak memiliki aliran pengiriman Firehose yang ada, Anda dapat membuatnya saat membuat atau memperbarui sistem file di konsol.

  • Aliran pengiriman Firehose harus dikonfigurasi untuk digunakan Direct PUT sebagai sumbernya. Anda tidak dapat menggunakan aliran data Kinesis yang ada sebagai sumber data untuk aliran pengiriman Anda.

  • Tujuan (baik grup CloudWatch log Log atau aliran pengiriman Firehose) harus berada di AWS partisi yang sama Wilayah AWS, dan Akun AWS sebagai sistem FSx file Amazon Anda.

Anda dapat mengubah tujuan log peristiwa audit kapan saja (misalnya, dari CloudWatch Log ke Firehose). Ketika Anda melakukannya, log event audit yang baru dikirimkan hanya ke tujuan yang baru.

Upaya terbaik pengiriman log event audit

Biasanya, catatan log peristiwa audit dikirim ke tujuan dalam hitungan menit, tetapi terkadang bisa memakan waktu lebih lama. Pada kesempatan yang sangat langka, catatan log event audit mungkin hilang. Jika kasus penggunaan Anda membutuhkan semantik khusus (misalnya, pastikan bahwa tidak ada event audit yang terlewatkan), sebaiknya Anda mempertimbangkan event yang terlewat saat merancang alur kerja Anda. Anda dapat melakukan audit untuk event yang terlewat dengan memindai struktur file dan folder pada sistem file Anda.

Memigrasi kendali audit Anda

Jika Anda memiliki kontrol audit (SACLs) yang sudah diatur pada data file yang ada, Anda dapat membuat sistem FSx file Amazon dan memigrasikan data ke sistem file baru Anda. Sebaiknya gunakan AWS DataSync untuk mentransfer data dan yang SACLs terkait dengan sistem FSx file Amazon Anda. Sebagai solusi alternatif, Anda bisa menggunakan Robocopy (Salinan File Robust). Untuk informasi selengkapnya, lihat Memigrasi penyimpanan file yang ada ke Amazon FSx.

Melihat log event

Anda dapat melihat log peristiwa audit setelah FSx Amazon mulai memancarkannya. Di mana dan bagaimana Anda melihat log tergantung pada tujuan log event audit:

  • Anda dapat melihat CloudWatch log Log dengan membuka CloudWatch konsol dan memilih grup log dan aliran log tempat log peristiwa audit Anda dikirim. Untuk informasi selengkapnya, lihat Melihat data log yang dikirim ke CloudWatch Log di Panduan Pengguna CloudWatch Log Amazon.

    Anda dapat menggunakan Wawasan CloudWatch Log untuk mencari dan menganalisis data log secara interaktif. Untuk informasi selengkapnya, lihat Menganalisis Data CloudWatch Log dengan Wawasan Log, di Panduan Pengguna CloudWatch Log Amazon.

    Anda juga dapat mengekspor log event audit ke Amazon S3. Untuk informasi selengkapnya, lihat Mengekspor Data Log ke Amazon S3, juga di Panduan Pengguna CloudWatch Amazon Logs.

  • Anda tidak dapat melihat log peristiwa audit di Firehose. Namun, Anda dapat mengonfigurasi Firehose untuk meneruskan log ke tujuan yang dapat Anda baca. Tujuannya meliputi Amazon S3, Amazon Redshift, OpenSearch Amazon Service, dan solusi mitra seperti Splunk dan Datadog, Untuk informasi selengkapnya, lihat Memilih tujuan di Panduan Pengembang Amazon Data Firehose.

Audit bidang event

Bagian ini menyediakan deskripsi informasi pada log event audit dan contoh event audit.

Berikut ini adalah deskripsi dari bidang yang menonjol dalam event audit Windows.

  • EventID mengacu pada ID log acara event Windows yang ditentukan Windows. Lihat dokumentasi Microsoft untuk informasi tentang event sistem file dan event berbagi file.

  • SubjectUserNamemengacu pada pengguna yang melakukan akses.

  • ObjectNamemengacu pada file target, folder, atau berbagi file yang diakses.

  • ShareNametersedia untuk acara yang dihasilkan untuk akses berbagi file. Misalnya, EventID 5140 dibuat ketika objek berbagi jaringan diakses.

  • IpAddressmengacu pada klien yang memulai acara untuk acara berbagi file.

  • Kata Kunci, ketika tersedia, mengacu pada akses file apakah berhasil atau gagal. Untuk akses yang berhasil, nilainya adalah 0x8020000000000000. Untuk akses yang gagal, nilainya adalah 0x8010000000000000.

  • TimeCreated SystemTimemengacu pada waktu peristiwa dihasilkan dalam sistem dan ditampilkan dalam format < YYYY -MM DDThh -:MM: SS.S>Z.

  • Komputer mengacu pada DNS nama sistem file Windows Remote PowerShell Endpoint dan dapat digunakan untuk mengidentifikasi sistem file.

  • AccessMask, bila tersedia, mengacu pada jenis akses file yang dilakukan (misalnya, ReadData, WriteData).

  • AccessListmengacu pada akses yang diminta atau diberikan ke Objek. Untuk detailnya, lihat tabel di bawah ini dan dokumentasi Microsoft (seperti dalam Event 4556).

Jenis Akses Mask Akses Nilai

Baca Data atau Cantumkan Direktori

0x1

%%4416

Menulis Data atau Tambah File

0x2

%%4417

Menambahkan Data atau Tambah Subdirektori

0x4

%%4418

Baca Atribut yang Diperluas

0x8

%%4419

Tulis Atribut yang Diperluas

0x10

%%4420

Eksekusi/Lewati

0x20

%%4421

Hapus Anak

0x40

%%4422

Baca Atribut

0x80

%%4423

Tulis Atribut

0x100

%%4424

Hapus

0x10000

%%1537

Baca ACL

0x20000

%%1538

Menulis ACL

0x40000

%%1539

Pemilik tulis

0x80000

%%1540

Sinkronisasi

0x100000

%%1541

Keamanan Akses ACL

0x1000000

%%1542

Berikut ini adalah beberapa peristiwa penting dengan contoh-contoh. Perhatikan bahwa XML diformat untuk keterbacaan.

ID Event 4660 tercatat ketika ada sebuah objek yang dihapus.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>

ID Event 4659 tercatat ketika ada permintaan untuk menghapus file.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>

ID Event 4663 tercatat ketika ada operasi tertentu dilakukan pada objek tersebut. Contoh berikut menunjukkan pembacaan data dari sebuah file, yang dapat ditafsirkan dari AccessList %%4416.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>

Contoh berikut menunjukkan penulisan/penambahan data dari sebuah file, yang dapat ditafsirkan dari AccessList %%4417.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>

ID Event 4656 mengindikasikan bahwa akses tertentu diminta untuk sebuah objek. Dalam contoh berikut, permintaan Baca dimulai ke ObjectName “permtest” dan merupakan upaya yang gagal, seperti yang terlihat pada nilai Kata Kunci. 0x8010000000000000

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>

ID Event 4670 tercatat ketika izin untuk sebuah objek berubah. Contoh berikut menunjukkan bahwa pengguna “admin” memodifikasi izin pada “permtest” untuk menambahkan izin ke ObjectName “S-1-5-21-658495921-4185342820-3824891517-1113". SID Lihat dokumentasi Microsoft untuk informasi lebih lanjut tentang cara menafsirkan izin.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>

ID Event 5140 tercatat setiap kali akses berbagi file diakses.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>

ID Event 5145 tercatat ketika akses ditolak pada tingkat berbagi file. Contoh berikut menunjukkan akses ke ShareName “demoshare01" ditolak.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>

Jika Anda menggunakan Wawasan CloudWatch Log untuk mencari data log Anda, Anda dapat menjalankan kueri pada bidang peristiwa, seperti yang ditunjukkan oleh contoh berikut:

  • Untuk melakukan kueri untuk ID event tertentu:

    fields @message
   | filter @message like /4660/

  • Untuk kueri semua event yang cocok dengan nama file tertentu:

    fields @message
   | filter @message like /event.txt/

Untuk informasi selengkapnya tentang bahasa kueri Wawasan CloudWatch Log, lihat Menganalisis Data CloudWatch Log dengan Wawasan Log, di Panduan Pengguna CloudWatch Log Amazon.