ファイルアクセス監査の管理 - Amazon FSx for Windows File Server

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ファイルアクセス監査の管理

新しい Amazon FSx for Windows File Server のファイルシステムを作成する際に、ファイルアクセス監査を有効にできます。Amazon FSx コンソールからファイルシステムを作成すると、ファイルアクセス監査はデフォルトでオフになります。

ファイルアクセス監査が有効になっている既存のファイルシステムでは、ファイルおよびファイル共有アクセスのアクセス試行の種類変更や、監査イベントログの宛先など、ファイルアクセス監査の設定を変更できます。これらのタスクは、Amazon FSx コンソール AWS CLI、または API を使用して実行できます。

注記

ファイルアクセス監査は、スループットキャパシティが 32 MBps 以上の Amazon FSx for Windows File Server ファイルシステムでのみサポートされています。ファイルアクセス監査が有効になっている場合、スループットキャパシティが 32 MBps 未満のファイルシステムを作成または更新することはできません。スループットキャパシティは、ファイルシステムを作成した後いつでも変更できます。詳細については、「FSx for Windows File Server ファイルシステムのスループットキャパシティの管理」を参照してください。

  1. https://console.aws.amazon.com/fsx/ で Amazon FSx コンソールを開きます。

  2. 「開始方法」セクションの「Step 1. ファイルシステムを作成する」で説明されている新しいファイルシステムを作成するための手順に従います。

  3. 監査 - オプション セクションを開きます。ファイルアクセスの監査は、デフォルトで無効になっています。

    ファイルシステムの作成ウィザードの 監査 - オプション セクションで、ファイルアクセス監査がデフォルトでオフになっていることを示しています。

  4. ファイルアクセス監査を有効にして設定するには、次の手順を実行します。

    • ファイルやフォルダへのアクセスログを記録する には、成功および / または失敗した試行のロギングを選択します。選択しないと、ファイルとフォルダのロギングは無効になります。

    • ファイル共有へのアクセスを記録する には、成功および/または失敗した試行のロギングを選択します。選択しないと、ファイル共有のロギングは無効になります。

    • 監査イベントログの送信先の選択 でCloudWatch ログ または Firehose を選択します。次に、既存のログまたは配信ストリームを選択するか、新しいログまたは配信ストリームを作成します。 CloudWatch Logs の場合、Amazon FSx は Logs ログ/aws/fsx/windowsグループでデフォルトの CloudWatch ログストリームを作成して使用できます。

    以下は、エンドユーザーによるファイル、フォルダ、およびファイル共有への成功および失敗したアクセス試行を監査する、ファイルアクセス監査設定の例になります。監査イベントログは、デフォルトの CloudWatch ログ/aws/fsx/windowsグループの宛先に送信されます。

    ファイルシステムのファイルアクセス監査設定の例。

  5. ファイルシステム作成ウィザードの次のセクションに進みます。

ファイルシステムが [Available] (利用可能) の場合は、ファイルアクセス監査機能が有効になります。

  1. 新しいファイルシステムを作成するときは、 CreateFileSystem API オペレーションで AuditLogConfigurationプロパティを使用して、新しいファイルシステムのファイルアクセス監査を有効にします。

    aws fsx create-file-system \
  --file-system-type WINDOWS \
  --storage-capacity 300 \
  --subnet-ids subnet-123456 \
  --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
    FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
    AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'

  2. ファイルシステムが [Available] (利用可能) の場合は、ファイルアクセス監査機能が有効になります。

  1. https://console.aws.amazon.com/fsx/ で Amazon FSx コンソールを開きます。

  2. [Files systems] (ファイルシステム) に移動し、ファイルアクセス監査を管理する Windows ファイルシステムを選択します。

  3. [Administration] (管理) タブを選択します。

  4. [File Access Auditing] (ファイルアクセスの監査) パネルで、[Manage] (管理) を選択します。

    ファイルアクセス監査の設定を表示する、FSx コンソールのファイルアクセス監査パネル。

  5. [Manage file access auditing settings] (ファイルアクセス監査設定の管理) ダイアログで、希望の設定を変更します。

    FSx コンソールのファイルアクセス監査パネルで、このパネルを使用してファイルアクセス監査の設定を変更します。

    • ファイルやフォルダへのアクセスログを記録する には、成功および / または失敗した試行のロギングを選択します。選択しないと、ファイルとフォルダのロギングは無効になります。

    • ファイル共有へのアクセスを記録する には、成功および/または失敗した試行のロギングを選択します。選択しないと、ファイル共有のロギングは無効になります。

    • 監査イベントログの送信先の選択 でCloudWatch ログ または Firehose を選択します。次に、既存のログまたは配信ストリームを選択するか、新しいログまたは配信ストリームを作成します。

  6. [Save] (保存) を選択します。

  • update-file-system CLI コマンドまたは同等の UpdateFileSystem API オペレーションを使用します。

    aws fsx update-file-system \
  --file-system-id fs-0123456789abcdef0 \
  --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
    FileShareAccessAuditLogLevel="FAILURE_ONLY", \
    AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'