ファイルアクセスの監査 - Amazon FSx for Windows File Server
ファイルアクセス監査の概要監査イベントログの宛先ファイルとフォルダへのアクセスの監査ファイルアクセス監査の管理監査コントロールの移行イベントログの表示

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ファイルアクセスの監査

Amazon FSx for Windows File Server は、ファイル、フォルダ、およびファイル共有に対するエンドユーザーアクセスの監査をサポートしています。ユーザーは監査イベントログをその他の様々な AWS サービスに送信することを選択でき、ログのクエリ、処理、保存およびアーカイブの有効化、通知の発行、そしてセキュリティとコンプライアンス目標のさらなる推進のためのアクションをトリガーできます。

ファイルアクセス監査を使用してアクセスパターンを把握し、エンドユーザーのアクティビティに関するセキュリティ通知を実装する方法の詳細については、「File storage access patterns insights」と「Implementing security notifications for end user activity」を参照してください。

ファイルアクセス監査の概要

ファイルアクセス監査を使用すると、ユーザーが定義した監査管理に基づいて、個々のファイル、フォルダ、およびファイル共有のエンドユーザーアクセスをレコードできます。監査コントロールは、NTFS システムアクセスコントロールリスト (SACL) とも呼ばれます。既存のファイルデータに監査コントロールがすでに設定されている場合は、ファイルアクセス監査を利用して新しい Amazon FSx for Windows File Server のファイルシステムを作成したり、データを移行することができます。

Amazon FSx は、ファイル、フォルダー、およびファイル共有アクセスのために Windows が提供する次の監査イベントをサポートしています。

  • ファイルアクセスに関しては、次がサポートされます: すべて、フォルダのスキャン / ファイルの実行、フォルダ一覧 / データの読み取り、属性の読み取り、ファイルの作成 / データの書き込み、フォルダの作成 / データの追加、属性の書き込み、サブフォルダとファイルの削除、削除、許可の読み取り、許可の変更、および所有権の取得。

  • ファイル共有アクセスに関しては、次がサポートされます: ファイル共有に接続。

Amazon FSx は、ファイル、フォルダー、およびファイル共有へのアクセス全体で、成功した試行 (ファイルまたはファイル共有に正常にアクセスするための十分なアクセス許可を持つユーザーなど)、失敗した試行、またはその両方のロギングをサポートします。

アクセス監査をファイルとフォルダでのみ行うか、ファイル共有のみ、またはその両方で行うかを設定できます。ログに記録するアクセスの種類 (成功した試行のみ、失敗した試行のみ、またはその両方) を設定することもできます。また、ファイルアクセス監査はいつでも無効にできます。

注記

ファイルアクセスの監査では、有効化された時点からのエンドユーザーアクセスデータのみが記録されます。つまり、ファイルアクセスの監査では、ファイルアクセスの監査が有効化される前に発生したエンドユーザーのファイル、フォルダ、ファイル共有アクセスアクティビティの監査イベントログは生成されません。

サポートされるアクセス監査イベントの最大レートは、1 秒あたり 5,000 イベントです。アクセス監査イベントは、ファイルの読み取りおよび書き込みオペレーションごとに生成されるのではなく、ユーザーがファイルを作成したり、開いたり、削除したときなどの、ファイルメタデータオペレーションごとに 1 回生成されます。

監査イベントログの宛先

有効にした場合ファイルアクセス監査機能には、Amazon FSx の監査イベントログの宛先となる、設定された AWS サービスが必要になります。この監査イベントログの宛先は、Logs CloudWatch ロググループ内の Amazon CloudWatch Logs ログストリームまたは Amazon Data Firehose 配信ストリームのいずれかである必要があります。Amazon FSx for Windows File Server のファイルシステムを作成する際、または後に更新する際に、監査イベントログの宛先を選択できます。詳細については、「ファイルアクセス監査の管理」を参照してください。

以下は、選択する監査イベントログの宛先を決定するのに役立つ推奨事項になります。

  • 監査イベントログを Amazon CloudWatch コンソールに保存、表示、検索し、 CloudWatch Logs Insights を使用してログに対してクエリを実行し、 CloudWatch アラームまたは Lambda 関数をトリガーする場合は、 CloudWatch ログを選択します。

  • Amazon S3 のストレージ、Amazon Redshift のデータベース、Amazon OpenSearch Service、またはさらなる分析のために AWS パートナーソリューション (Splunk や Datadog など) にイベントを継続的にストリーミングする場合は、Firehose を選択します。

デフォルトでは、Amazon FSx はアカウントにデフォルトの CloudWatch ロググループを作成し、監査イベントログの宛先として使用します。カスタム CloudWatch Logs ロググループを使用するか、Firehose を監査イベントログの宛先として使用する場合は、監査イベントログの宛先の名前と場所の要件を以下に示します。

  • CloudWatch Logs ロググループの名前は、 /aws/fsx/ プレフィックスで始まる必要があります。コンソールでファイルシステムを作成または更新するときに既存の CloudWatch Logs ロググループがない場合、Amazon FSx は CloudWatch Logs ロググループでデフォルトの/aws/fsx/windowsログストリームを作成して使用できます。デフォルトのロググループを使用しない場合は、コンソールでファイルシステムを作成または更新するときに、設定 UI で CloudWatch Logs ロググループを作成できます。

  • Firehose 配信ストリームの名前は、 aws-fsx- プレフィックスで始まる必要があります。既存の Firehose 配信ストリームがない場合は、コンソールでファイルシステムを作成または更新するときに配信ストリームを作成できます。

  • Firehose 配信ストリームは、 をソースDirect PUTとして使用するように設定する必要があります。既存の Kinesis Data Stream を配信ストリームのデータソースとして使用することはできません。

  • 送信先 ( CloudWatch ログロググループまたは Firehose 配信ストリーム) は AWS リージョン、 AWS アカウント Amazon FSx ファイルシステムと同じ AWS パーティションにある必要があります。

監査イベントログの送信先はいつでも変更できます (ログから Firehose CloudWatch など)。これを実行すると、新しい監査イベントログは新たな宛先にのみ送信されます。

ベストエフォート監査イベントログ配信

通常、監査イベントログレコードは数分で配信されますが、時間がかかることもあります。ごく稀に、監査イベントログレコードが失われることがあります。ユーザーのユースケースで特定のセマンティクスが必要になる場合 (例えば、監査イベントを必ず見逃さないなど)、ワークフローを設計する際に見逃したイベントを考慮することをお勧めします。ファイルシステム上のファイルおよびフォルダ構造をスキャンして、見逃したイベントを監査できます。

ファイルとフォルダへのアクセスの監査

ユーザーアクセスの試行を監査するファイルおよびフォルダーに、監査コントロールを設定する必要があります。監査コントロールは、NTFS システムアクセスコントロールリスト (SACL) とも呼ばれます。

監査コントロールは、Windows ネイティブ GUI インターフェイスを使用するか、Windows PowerShell コマンドを使用してプログラムで設定します。継承が有効になっている場合は通常、アクセスをログに記録する最上位フォルダに対してのみ監査コントロールを設定する必要があります。

Windows GUI を使用した監査アクセスの設定

GUI を使用してファイルとフォルダーに監査コントロールを設定するには、Windows ファイルエクスプローラを使用します。特定のファイルまたはフォルダで、Windows ファイルエクスプローラを開き、[Properties] (プロパティ) > [Security] (セキュリティ) > [Advanced] (詳細設定) > Auditing] (監査) タブを選択します。

次の監査コントロールの例では、フォルダの成功したイベントを監査します。Windows イベントログエントリは、そのハンドルが読み取りのため、管理者ユーザーによって正常に開かれるたびに発行されます。

Windows ファイルエクスプローラの [Auditing] (監査) タブを使用して、Windows ファイルアクセス監査のため、ファイルとフォルダに監査コントロールを設定します。

[Type] (タイプ) フィールドは、監査するアクションを示します。成功した試みを監査するにはこのフィールドを [Success] (成功) に、失敗した試みを監査するには [Fail] (失敗) に、成功と失敗の両方の試みを監査するには [All] (すべて) に設定します。

監査エントリフィールドの詳細については、Microsoft ドキュメントの「ファイルまたはフォルダに基本的な監査ポリシーを適用する」を参照してください。

PowerShell コマンドを使用した監査アクセスの設定

Microsoft Windows Set-Acl コマンドを使用して、任意のファイルまたはフォルダで監査 SACL を設定できます。このコマンドの設定の詳細については、「Microsoft の Set-Acl ドキュメント」を参照してください。

以下は、一連の PowerShell コマンドと変数を使用して、成功した試行の監査アクセスを設定する例です。これらのサンプルコマンドは、ユーザーのファイルシステムのニーズに合わせて調整できます。

$path = "C:\Users\TestUser\Desktop\DemoTest\"

$ACL = Get-Acl $path

$ACL | Format-List

$AuditUser = "TESTDOMAIN\TestUser"

$AuditRules = "FullControl"

$InheritType = "ContainerInherit,ObjectInherit"

$AuditType = "Success"

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)

$ACL.SetAuditRule($AccessRule)

$ACL | Set-Acl $path

Get-Acl $path -Audit | Format-List

ファイルアクセス監査の管理

新しい Amazon FSx for Windows File Server のファイルシステムを作成する際に、ファイルアクセス監査を有効にできます。Amazon FSx コンソールからファイルシステムを作成すると、ファイルアクセス監査はデフォルトでオフになります。

ファイルアクセス監査が有効になっている既存のファイルシステムでは、ファイルおよびファイル共有アクセスのアクセス試行の種類変更や、監査イベントログの宛先など、ファイルアクセス監査の設定を変更できます。これらのタスクは、Amazon FSx コンソール、 AWS CLI、または API を使用して実行できます。

注記

ファイルアクセス監査は、32 MB/秒以上のスループットキャパシティを持つ Amazon FSx for Windows File Server のファイルシステムでのみサポートされます。ファイルアクセス監査が有効になっている場合、32 MB / 秒未満のスループットキャパシティを持つファイルシステムを作成または更新することはできません。スループットキャパシティは、ファイルシステムを作成した後いつでも変更できます。詳細については、「スループット容量の管理」を参照してください。

  1. https://console.aws.amazon.com/fsx/ で Amazon FSx コンソールを開きます。

  2. 「開始方法」セクションの「ステップ 1: ファイルシステムを作成する」で説明されている新しいファイルシステムを作成するための手順に従います。

  3. 監査 - オプション セクションを開きます。ファイルアクセスの監査は、デフォルトで無効になっています。

    ファイルシステムの作成ウィザードの 監査 - オプション セクションで、ファイルアクセス監査がデフォルトでオフになっていることを示しています。

  4. ファイルアクセス監査を有効にして設定するには、次の手順を実行します。

    • ファイルやフォルダへのアクセスログを記録する には、成功および / または失敗した試行のロギングを選択します。選択しないと、ファイルとフォルダのロギングは無効になります。

    • ファイル共有へのアクセスを記録する には、成功および/または失敗した試行のロギングを選択します。選択しないと、ファイル共有のロギングは無効になります。

    • 監査イベントログの送信先を選択する でCloudWatch ログ または Firehose を選択します。次に、既存のログまたは配信ストリームを選択するか、新しいログまたは配信ストリームを作成します。 CloudWatch ログの場合、Amazon FSx は CloudWatch Logs ロググループでデフォルトの/aws/fsx/windowsログストリームを作成して使用できます。

    以下は、エンドユーザーによるファイル、フォルダ、およびファイル共有への成功および失敗したアクセス試行を監査する、ファイルアクセス監査設定の例になります。監査イベントログは、デフォルトの CloudWatch Logs /aws/fsx/windowsロググループの宛先に送信されます。

    ファイルシステムのファイルアクセス監査設定の例。

  5. ファイルシステム作成ウィザードの次のセクションに進みます。

ファイルシステムが [Available] (利用可能) の場合は、ファイルアクセス監査機能が有効になります。

  1. 新しいファイルシステムを作成するときは、 CreateFileSystem API オペレーションで AuditLogConfigurationプロパティを使用して、新しいファイルシステムのファイルアクセス監査を有効にします。

    aws fsx create-file-system \
  --file-system-type WINDOWS \
  --storage-capacity 300 \
  --subnet-ids subnet-123456 \
  --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
    FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
    AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'

  2. ファイルシステムが [Available] (利用可能) の場合は、ファイルアクセス監査機能が有効になります。

  1. https://console.aws.amazon.com/fsx/ で Amazon FSx コンソールを開きます。

  2. [Files systems] (ファイルシステム) に移動し、ファイルアクセス監査を管理する Windows ファイルシステムを選択します。

  3. [Administration] (管理) タブを選択します。

  4. [File Access Auditing] (ファイルアクセスの監査) パネルで、[Manage] (管理) を選択します。

    ファイルアクセス監査の設定を表示する、FSx コンソールのファイルアクセス監査パネル。

  5. [Manage file access auditing settings] (ファイルアクセス監査設定の管理) ダイアログで、希望の設定を変更します。

    FSx コンソールのファイルアクセス監査パネルで、このパネルを使用してファイルアクセス監査の設定を変更します。

    • ファイルやフォルダへのアクセスログを記録する には、成功および / または失敗した試行のロギングを選択します。選択しないと、ファイルとフォルダのロギングは無効になります。

    • ファイル共有へのアクセスを記録する には、成功および/または失敗した試行のロギングを選択します。選択しないと、ファイル共有のロギングは無効になります。

    • 監査イベントログの宛先を選択する でCloudWatch ログ または Firehose を選択します。次に、既存のログまたは配信ストリームを選択するか、新しいログまたは配信ストリームを作成します。

  6. [Save] (保存) を選択します。

  • update-file-system CLI コマンドまたは同等の UpdateFileSystem API オペレーションを使用します。

    aws fsx update-file-system \
  --file-system-id fs-0123456789abcdef0 \
  --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
    FileShareAccessAuditLogLevel="FAILURE_ONLY", \
    AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'

監査コントロールの移行

既存のファイルデータに監査コントロール (SACL) がすでに設定されている場合は、Amazon FSx ファイルシステムを作成し、データを新しいファイルシステムに移行できます。を使用して AWS DataSync 、Amazon FSx ファイルシステムにデータおよび関連する SACLs を転送することをお勧めします。別の解決策として、Robocopy (ロバストファイルコピー) を使用できます。詳細については、「既存のファイルストレージを Amazon FSx に移行する」を参照してください。

イベントログの表示

Amazon FSx が監査イベントログの発行を開始した後、それらを表示できます。ログの表示場所と方法は、監査イベントログの宛先によって異なります。

監査イベントフィールド

このセクションでは、監査イベントログの情報と、監査イベントの例について説明します。

以下は Windows 監査イベントの顕著なフィールドについての説明になります。

  • EventID は、Microsoft 定義の Windows イベントのログイベント ID を指します。ファイルシステムイベント および ファイル共有イベント の情報については、Microsoft のドキュメントを参照してください。

  • SubjectUserName は、アクセスを実行するユーザーを指します。

  • ObjectName は、アクセスされたターゲットファイル、フォルダ、またはファイル共有を参照します。

  • ShareName は、ファイル共有アクセス用に生成されたイベントで使用できます。例えば、EventID 5140 はネットワーク共有オブジェクトにアクセスしたときに生成されます。

  • IpAddress は、ファイル共有イベントのイベントを開始したクライアントを指します。

  • [Keywords] (キーワード) は、使用可能な場合に、ファイルアクセスが成功したか障害だったかを指します。成功したアクセスの場合、値は 0x8020000000000000 です。失敗したアクセスの場合、値は 0x8010000000000000 です。

  • TimeCreated SystemTime は、イベントがシステムで生成され、<YYYY-MM-DDThh :mm:ss.s>Z 形式で表示される時刻を指します。

  • コンピュータとは、ファイルシステムの Windows リモート PowerShell エンドポイントの DNS 名を指し、ファイルシステムの識別に使用できます。

  • AccessMaskは、使用可能な場合、実行されるファイルアクセスのタイプ (例:) を参照します ReadData WriteData。

  • AccessList は、オブジェクトへのリクエストされた、または付与されたアクセスを指します。詳細については、下記の表および Microsoft のドキュメント (「イベント 4556」など) を参照してください。

アクセスタイプ アクセスマスク

データまたはリストディレクトリの読み取り

0x1

%%4416

データの書き込みまたはファイルの追加

0x2

%%4417

データの付加またはサブディレクトリの追加

0x4

%%4418

拡張属性の読み取り

0x8

%%4419

拡張属性の書き込み

0x10

%%4420

実行 / トラバース

0x20

%%4421

子の削除

0x40

%%4422

属性の読み取り

0x80

%%4423

属性の書き込み

0x100

%%4424

削除

0x10000

%%1537

ACL の読み取り

0x20000

%%1538

ACL の書き込み

0x40000

%%1539

所有者の書き込み

0x80000

%%1540

同期

0x100000

%%1541

セキュリティ ACL にアクセスする

0x1000000

%%1542

以下は、実例を挙げたいくつかのキーイベントです。XML は読みやすさい形式にフォーマットされていることに注意してください。

イベント ID 4660 は、オブジェクトが削除されたときにログに記録されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>

イベント ID 4659 は、ファイルの削除リクエストでログに記録されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>

イベント ID 4663 は、オブジェクトに対して特定の操作が実行されたときにログに記録されます。次の例はファイルからのデータの読み取りを示しており、これは AccessList %%4416 で解釈されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>

次の例はファイルからのデータの書き込み/付加を示しており、これは AccessList %%4417 で解釈されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>

イベント ID 4656 は、オブジェクトに対して特定のアクセスがリクエストされたことを示します。次の例では、「permtest ObjectName 」に対して読み取りリクエストが開始され、 のキーワード値に示されているように、失敗した試行でした0x8010000000000000

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>

イベント ID 4670 は、オブジェクトの許可が変更された際にログに記録されます。次の例は、ユーザー「admin ObjectName 」が「permtest」のアクセス許可を変更して、SID「S-1-5-21-658495921-4185342820-3824891517-1113」にアクセス許可を追加したことを示しています。アクセス許可の解釈方法の詳細については、Microsoft のドキュメントを参照してください。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>

イベント ID 5140 は、ファイル共有にアクセスするたびにログに記録されます。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>

イベント ID 5145 は、ファイル共有レベルでアクセスが拒否されたときにログに記録されます。次の例は、 ShareName 「demoshare01」へのアクセスが拒否されたことを示しています。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>

CloudWatch Logs Insights を使用してログデータを検索する場合は、次の例に示すように、イベントフィールドに対してクエリを実行できます。

  • 特定のイベント ID をクエリするには。

    fields @message
   | filter @message like /4660/

  • 特定のファイル名と一致するすべてのイベントをクエリするには。

    fields @message
   | filter @message like /event.txt/

CloudWatch Logs Insights クエリ言語の詳細については、「Amazon Logs ユーザーガイド」の「Logs Insights を使用した CloudWatch ログデータの分析」を参照してください。 CloudWatch