파일 액세스 감사를 통한 최종 사용자 액세스 기록 - FSx윈도우용 Amazon 파일 서버
감사 이벤트 로그 대상감사 제어 마이그레이션감사 로그 보기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

파일 액세스 감사를 통한 최종 사용자 액세스 기록

FSxWindows용 Amazon 파일 서버는 파일, 폴더 및 파일 공유에 대한 최종 사용자 액세스 감사를 지원합니다. 파일 시스템의 감사 이벤트 로그를 다양한 기능을 제공하는 다른 AWS 서비스에 전송하도록 선택할 수 있습니다. 여기에는 로그의 쿼리, 처리, 저장 및 보관, 알림 발행, 보안 및 규정 준수 목표를 더욱 향상시키기 위한 트리거 조치가 포함됩니다.

파일 액세스 감사를 사용하여 액세스 패턴에 대한 인사이트를 얻고 최종 사용자 활동에 대한 보안 알림을 구현하는 방법에 대한 자세한 내용은 파일 스토리지 액세스 패턴 인사이트최종 사용자 활동에 대한 보안 알림 구현을 참조하세요.

참고

파일 액세스 감사는 처리 용량이 32 이상인 FSx Windows 파일 시스템에서만 지원됩니다. MBps 기존 파일 시스템의 처리 용량을 수정할 수 있습니다. 자세한 내용은 Windows 파일 서버 파일 시스템의 처리 용량 관리 FSx 단원을 참조하십시오.

파일 액세스 감사를 사용하면 정의된 감사 제어를 기반으로 개별 파일, 폴더 및 파일 공유에 대한 최종 사용자 액세스를 기록할 수 있습니다. 감사 제어를 NTFS 시스템 액세스 제어 목록 (SACLs) 이라고도 합니다. 기존 파일 데이터에 감사 제어를 이미 설정한 경우, 새 Amazon FSx for Windows File Server 파일 시스템을 생성하고 데이터를 마이그레이션하여 파일 액세스 감사를 활용할 수 있습니다.

Amazon은 파일, 폴더 및 파일 공유 액세스에 대해 다음과 같은 Windows 감사 이벤트를 FSx 지원합니다.

  • 파일 액세스의 경우, 모두, 폴더 트래버스/파일 실행, 폴더 나열/데이터 읽기, 속성 읽기, 파일 생성/데이터 쓰기, 폴더 생성/데이터 추가, 속성 쓰기, 하위 폴더 및 파일 삭제, 삭제, 읽기 권한, 변경 권한, 소유권 가져오기 옵션을 지원합니다.

  • 파일 공유 액세스의 경우, 파일 공유 연결을 지원합니다.

Amazon은 파일, 폴더 및 파일 공유 액세스에서 성공한 시도 (예: 충분한 권한을 가진 사용자가 파일 또는 파일 공유에 성공적으로 액세스한 경우), 실패한 시도 또는 두 가지 모두에 대한 로깅을 FSx 지원합니다.

액세스 감사를 파일 및 폴더에만 적용할지, 파일 공유에만 적용할지, 아니면 둘 다에 대해 감사할지 구성할 수 있습니다. 또한 로깅할 액세스 유형(성공한 시도만, 실패한 시도만 또는 둘 다)을 구성할 수 있습니다. 파일 액세스 감사를 언제든지 비활성화할 수도 있습니다.

참고

파일 액세스 감사는 활성화된 시점의 최종 사용자 액세스 데이터만 기록합니다. 즉, 파일 액세스 감사에서는 파일 액세스 감사가 활성화되기 전에 발생한 최종 사용자 파일, 폴더 및 파일 공유 액세스 활동에 대한 감사 이벤트 로그를 생성하지 않습니다.

지원되는 액세스 감사 이벤트의 최대 비율은 초당 5,000개 이벤트입니다. 액세스 감사 이벤트는 각 파일 읽기 및 쓰기 작업에 대해 생성되지 않고 파일 메타데이터 작업마다(예: 사용자가 파일을 만들거나 열거나 삭제할 때) 한 번씩 생성됩니다.

주제

감사 이벤트 로그 대상

파일 액세스 감사를 활성화하는 경우 Amazon에서 감사 이벤트 AWS 로그를 FSx 전송할 서비스를 구성해야 합니다. 감사 이벤트 로그는 로그 로그 그룹의 Amazon CloudWatch Logs 로그 스트림 또는 Amazon Data Firehose 전송 스트림으로 보낼 수 있습니다. CloudWatch 감사 이벤트 로그 대상은 FSx Windows용 Amazon 파일 서버를 생성할 때 또는 기존 파일 시스템을 업데이트한 후 언제든지 선택할 수 있습니다. 자세한 내용은 파일 액세스 감사 관리 단원을 참조하십시오.

다음은 어떤 감사 이벤트 로그 대상을 선택할지 결정하는 데 도움이 될 수 있는 몇 가지 권장 사항입니다.

  • Amazon CloudWatch 콘솔에서 감사 이벤트 CloudWatch 로그를 저장, 확인 및 검색하고, Logs Insights를 사용하여 로그에 대한 쿼리를 실행하고, CloudWatch 경보 또는 Lambda 함수를 트리거하려면 [ CloudWatch Logs] 를 선택합니다.

  • 추가 분석을 위해 Amazon S3의 스토리지, Amazon Redshift의 데이터베이스, Amazon 서비스 또는 Splunk 또는 Datadog와 같은 파트너 솔루션으로 이벤트를 지속적으로 AWS 스트리밍하려면 OpenSearch Amazon Data Firehose를 선택하십시오.

기본적으로 FSx Amazon은 사용자 계정에 기본 CloudWatch 로그 로그 그룹을 만들어 감사 이벤트 로그 대상으로 사용합니다. 사용자 지정 로그 CloudWatch 로그 그룹을 사용하거나 Firehose를 감사 이벤트 로그 대상으로 사용하려는 경우 감사 이벤트 로그 대상의 이름 및 위치에 대한 요구 사항은 다음과 같습니다.

  • 로그 CloudWatch 로그 그룹의 이름은 /aws/fsx/ 접두사로 시작해야 합니다. 콘솔에서 파일 시스템을 생성하거나 업데이트할 때 기존 CloudWatch 로그 로그 그룹이 없는 경우 Amazon은 CloudWatch Logs /aws/fsx/windows log 그룹에 기본 로그 스트림을 생성하여 사용할 FSx 수 있습니다. 기본 로그 그룹을 사용하지 않으려는 경우 콘솔에서 파일 시스템을 생성하거나 업데이트할 때 구성 UI를 사용하여 CloudWatch 로그 로그 그룹을 생성할 수 있습니다.

  • Firehose 전송 스트림의 이름은 접두사로 시작해야 합니다. aws-fsx- 기존 Firehose 전송 스트림이 없는 경우 콘솔에서 파일 시스템을 만들거나 업데이트할 때 전송 스트림을 만들 수 있습니다.

  • Firehose 전송 스트림을 Direct PUT 소스로 사용하도록 구성해야 합니다. 기존 Kinesis 데이터 스트림은 전송 스트림의 데이터 소스로 사용할 수 없습니다.

  • 대상 ( CloudWatch Logs 로그 그룹 또는 Firehose 전송 스트림) 은 Amazon FSx 파일 AWS 시스템과 동일한 파티션에 있어야 합니다. AWS 리전 AWS 계정

감사 이벤트 로그 대상은 언제든지 변경할 수 있습니다 (예: CloudWatch Logs에서 Firehose로). 이렇게 하면 새 감사 이벤트 로그가 새 대상으로만 전송됩니다.

최선의 감사 이벤트 로그 전송

일반적으로 감사 이벤트 로그 레코드는 몇 분 안에 대상에 전달되지만 때로는 더 오래 걸릴 수도 있습니다. 아주 드문 경우지만 감사 이벤트 로그 기록이 누락될 수 있습니다. 사용 사례에 특정 의미 체계(예: 누락된 감사 이벤트가 없는지 확인)가 필요한 경우 워크플로를 설계할 때 누락된 이벤트를 고려하는 것이 좋습니다. 파일 시스템의 파일 및 폴더 구조를 검사하여 누락된 이벤트가 있는지 감사할 수 있습니다.

감사 제어 마이그레이션

기존 파일 데이터에 감사 제어 (SACLs) 가 이미 설정되어 있는 경우, Amazon FSx 파일 시스템을 생성하고 데이터를 새 파일 시스템으로 마이그레이션할 수 있습니다. Amazon FSx 파일 시스템에 데이터 및 관련 데이터를 전송하는 AWS DataSync SACLs 데 사용하는 것이 좋습니다. 대체 솔루션으로는 Robocopy(Robust File Copy)를 사용할 수 있습니다. 자세한 내용은 기존 파일 스토리지를 Amazon으로 마이그레이션 FSx 단원을 참조하십시오.

감사 로그 보기

Amazon에서 감사 이벤트 로그를 생성하기 FSx 시작한 후에 감사 이벤트 로그를 볼 수 있습니다. 로그를 보는 위치 및 방법은 감사 이벤트 로그 대상에 따라 다릅니다.

  • CloudWatch 콘솔로 이동하여 감사 이벤트 로그가 전송되는 로그 그룹과 로그 스트림을 선택하면 로그 CloudWatch 로그를 볼 수 있습니다. 자세한 내용은 Amazon Logs 사용 설명서의 CloudWatch Logs로 전송된 CloudWatch 로그 데이터 보기를 참조하십시오.

    CloudWatch Logs Insights를 사용하여 대화형 방식으로 로그 데이터를 검색하고 분석할 수 있습니다. 자세한 내용은 Amazon Logs 사용 설명서의 CloudWatch Logs Insights를 사용한 CloudWatch 로그 데이터 분석을 참조하십시오.

    또한 감사 이벤트 로그를 Amazon S3로 내보낼 수 있습니다. 자세한 내용은 Amazon Logs 사용 설명서의 Amazon S3로 CloudWatch 로그 데이터 내보내기를 참조하십시오.

  • Firehose에서는 감사 이벤트 로그를 볼 수 없습니다. 하지만 로그를 읽을 수 있는 대상으로 전달하도록 Firehose를 구성할 수 있습니다. 대상에는 Amazon S3, Amazon Redshift, Amazon OpenSearch Service와 Splunk 및 Datadog와 같은 파트너 솔루션이 포함됩니다. 자세한 내용은 Amazon Data Firehose 개발자 안내서의 대상 선택을 참조하십시오.

감사 이벤트 필드

이 섹션에서는 감사 이벤트 로그의 정보에 대한 설명과, 감사 이벤트의 예제를 제공합니다.

다음은 Windows 감사 이벤트의 주요 필드에 대한 설명입니다.

  • EventID는 Microsoft가 정의한 Windows 이벤트 로그 이벤트 ID를 나타냅니다. 파일 시스템 이벤트파일 공유 이벤트에 대한 자세한 내용은 Microsoft 설명서를 참조하세요.

  • SubjectUserName액세스를 수행하는 사용자를 말합니다.

  • ObjectName액세스한 대상 파일, 폴더 또는 파일 공유를 나타냅니다.

  • ShareName파일 공유 액세스를 위해 생성된 이벤트에 사용할 수 있습니다. 예를 들어, 네트워크 공유 객체에 액세스할 때 EventID 5140이 생성됩니다.

  • IpAddress파일 공유 이벤트에 대한 이벤트를 시작한 클라이언트를 나타냅니다.

  • Keywords(사용 가능한 경우)는 파일 액세스의 성공 또는 실패 여부를 나타냅니다. 성공한 액세스의 경우 값은 0x8020000000000000입니다. 실패한 액세스의 경우 값은 0x8010000000000000입니다.

  • TimeCreated SystemTime이벤트가 시스템에서 생성되고 < YYYY -MM DDThh -:mm:SS.s>z 형식으로 표시된 시간을 나타냅니다.

  • 컴퓨터는 파일 시스템 Windows 원격 PowerShell 엔드포인트의 DNS 이름을 말하며 파일 시스템을 식별하는 데 사용할 수 있습니다.

  • AccessMask, 사용 가능한 경우 수행된 파일 액세스 유형 (예: WriteData) 을 나타냅니다. ReadData

  • AccessList객체에 대한 요청 또는 부여된 액세스 권한을 나타냅니다. 자세한 내용은 아래 표와 Microsoft 설명서(예: 이벤트 4556)를 참조하세요.

액세스 유형 액세스 마스크

데이터 읽기 또는 디렉터리 나열

0x1

%%4416

데이터 쓰기 또는 파일 추가

0x2

%%4417

데이터 추가 또는 하위 디렉터리 추가

0x4

%%4418

확장 속성 읽기

0x8

%%4419

확장 속성 쓰기

0x10

%%4420

실행/트래버스

0x20

%%4421

하위 삭제

0x40

%%4422

속성 읽기

0x80

%%4423

속성 쓰기

0x100

%%4424

삭제

0x10000

%%1537

읽기 ACL

0x20000

%%1538

글쓰기 ACL

0x40000

%%1539

소유자 쓰기

0x80000

%%1540

동기화

0x100000

%%1541

액세스 보안 ACL

0x1000000

%%1542

다음은 몇 가지 주요 이벤트와 예제입니다. 참고로 XML 는 가독성을 위해 형식이 지정되어 있습니다.

객체 삭제 시 이벤트 ID 4660이 로깅됩니다.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>

파일 삭제 요청 시 이벤트 ID 4659가 로깅됩니다.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>

객체에 특정 작업이 수행되면 이벤트 ID 4663이 로깅됩니다. 다음은 파일에서 데이터를 읽는 예제입니다(AccessList %%4416에서 해석 가능).

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>

다음은 파일에서 데이터를 읽고 추가하는 예제입니다(AccessList %%4417에서 해석 가능).

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>

이벤트 ID 4656은 객체에 대해 특정 액세스가 요청되었음을 나타냅니다. 다음 예시에서는 키워드 값에서 볼 수 있듯이 읽기 요청이 ObjectName “permtest”로 시작되었지만 실패한 시도였습니다. 0x8010000000000000 

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>

객체에 대한 권한이 변경되면 이벤트 ID 4670이 로깅됩니다. 다음 예에서는 사용자 “admin”이 “permtest”의 권한을 수정하여 “ ObjectName S-1-5-21-658495921-4185342820-3824891517-1113"에 권한을 추가했음을 보여줍니다. SID 권한을 해석하는 방법에 대한 자세한 내용은 Microsoft 설명서를 참조하세요.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>

이벤트 ID 5140은 파일 공유에 액세스할 때마다 로깅됩니다.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>

파일 공유 수준에서 액세스가 거부되면 이벤트 ID 5145가 로깅됩니다. 다음 예는 ShareName “demoshare01"에 대한 액세스가 거부되었음을 보여줍니다.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>

CloudWatch Logs Insights를 사용하여 로그 데이터를 검색하는 경우 다음 예와 같이 이벤트 필드에서 쿼리를 실행할 수 있습니다.

  • 특정 이벤트 ID 쿼리:

    fields @message
   | filter @message like /4660/

  • 특정 파일 이름과 일치하는 모든 이벤트 쿼리:

    fields @message
   | filter @message like /event.txt/

CloudWatch Logs Insights 쿼리 언어에 대한 자세한 내용은 Amazon Logs 사용 설명서의 Logs Insights를 사용한 CloudWatch CloudWatch 로그 데이터 분석을 참조하십시오.