Amazon WorkMail 감사 로그 모니터링 - 아마존 WorkMail
메일박스 액세스 로그액세스 제어 로그인증 로그가용성 제공자 로그

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon WorkMail 감사 로그 모니터링

감사 로그를 사용하여 Amazon WorkMail Organization의 사서함에 대한 액세스를 모니터링할 수 있습니다. Amazon은 네 가지 유형의 감사 이벤트를 WorkMail 기록하며 이러한 이벤트는 CloudWatch 로그, Amazon S3 또는 Amazon Firehouse에 게시할 수 있습니다. 감사 로그를 사용하여 조직의 사서함과의 사용자 상호 작용, 인증 시도, 액세스 제어 규칙 평가를 모니터링하고 외부 시스템에 대한 가용성 공급자 호출을 수행할 수 있습니다. 감사 로깅 구성에 대한 자세한 내용은 을 참조하십시오감사 로깅 활성화.

다음 섹션에서는 Amazon에서 기록하는 감사 이벤트 WorkMail, 이벤트가 전송되는 시기 및 이벤트 필드에 대한 정보를 설명합니다.

메일박스 액세스 로그

사서함 액세스 이벤트는 어떤 사서함 개체에서 어떤 작업이 수행되었거나 시도되었는지에 대한 정보를 제공합니다. 사서함의 항목 또는 폴더에서 실행하려는 모든 작업에 대해 사서함 액세스 이벤트가 생성됩니다. 이러한 이벤트는 사서함 데이터에 대한 액세스를 감사하는 데 유용합니다.

필드 설명

event_timestamp

이벤트 발생 시점 (Unix Epoch) 이후 밀리초 단위.

request_id

요청을 고유하게 식별하는 ID.

조직_arn

인증된 사용자가 속한 및 Amazon WorkMail 조직의 ARN입니다.

user_id

인증된 사용자의 ID.

가장자_id

가장한 사람의 ID. 요청에 사칭 기능을 사용한 경우에만 제시하십시오.

프로토콜

사용된 프로토콜. 프로토콜은 다음과 같을 수 있습니다. AutoDiscover EWSIMAP,WindowsOutlook,ActiveSync,SMTP,WebMail,IncomingEmail, 또는OutgoingEmail.

소스_ip

요청의 소스 IP 주소.

user_agent

요청을 한 사용자 에이전트.

작업

개체에 대해 수행된 작업은 다음과 같습니다.read,,read_hierarchy,read_summary,read_attachment,read_permissions,create,update,update_permissions, update_read_statedelete,submit_email_for_sending,abort_sending_email,move,move_to,copy, 또는copy_to.

owner_id

작업 중인 객체를 소유한 사용자의 ID.

object_type

개체 유형은 폴더, 메시지 또는 첨부 파일일 수 있습니다.

item_id

이벤트 제목인 메시지를 고유하게 식별하거나 이벤트 제목인 첨부 파일을 포함하는 ID입니다.

폴더_경로

작업 중인 폴더의 경로 또는 작업 중인 항목이 들어 있는 폴더의 경로.

folder_id

이벤트 대상인 폴더를 고유하게 식별하거나 이벤트 대상인 객체를 포함하는 ID입니다.

첨부_경로

영향을 받는 첨부 파일의 디스플레이 이름 경로.

액션_허용

작업이 허용되었는지 여부. 참일 수도 있고 거짓일 수도 있습니다.

액세스 제어 로그

액세스 제어 규칙이 평가될 때마다 액세스 제어 이벤트가 생성됩니다. 이러한 로그는 금지된 액세스를 감사하거나 액세스 제어 구성을 디버깅하는 데 유용합니다.

필드 설명

event_timestamp

이벤트 발생 시점 (Unix Epoch) 이후 밀리초 단위

request_id

요청을 고유하게 식별하는 ID.

조직_arn

인증된 사용자가 WorkMail 속한 조직의 ARN입니다.

user_id

인증된 사용자의 ID.

가장자_id

가장한 사람의 ID. 요청에 사칭 기능을 사용한 경우에만 제시하십시오.

프로토콜

사용된 프로토콜은 다음과 같습니다.AutoDiscover,,,EWS,IMAP,WindowsOutlook,ActiveSync, SMTP WebMailIncomingEmail, 또는. OutgoingEmail

소스_ip

요청의 소스 IP 주소.

scope

규칙의 범위는 다음과 같을 수 있습니다. AccessControlDeviceAccessControl, 또는ImpersonationAccessControl.

rule_id

일치하는 액세스 제어 규칙의 ID. 일치하는 규칙이 없는 경우 rule_id를 사용할 수 없습니다.

액세스_그랜트

액세스가 허용되었는지 여부. 참일 수도 있고 거짓일 수도 있습니다.

인증 로그

인증 이벤트에는 인증 시도에 대한 정보가 포함됩니다.

참고

Amazon WorkMail WebMail 애플리케이션을 통한 인증 이벤트에 대해서는 인증 이벤트가 생성되지 않습니다.

필드 설명

event_timestamp

이벤트 발생 시점 (Unix Epoch) 이후 밀리초 단위.

request_id

요청을 고유하게 식별하는 ID.

조직_arn

인증된 사용자가 WorkMail 속한 조직의 ARN입니다.

user_id

인증된 사용자의 ID.

사용자

인증을 시도할 때 사용한 사용자 이름.

프로토콜

사용된 프로토콜은 다음과 같습니다.AutoDiscover,,EWS,IMAP,WindowsOutlook, ActiveSyncSMTP,WebMail,IncomingEmail, 또는OutgoingEmail.

소스_ip

요청의 소스 IP 주소.

user_agent

요청을 한 사용자 에이전트.

method

인증 방법. 현재는 기본만 지원됩니다.

인증 성공

인증 시도가 성공했는지 여부. 참일 수도 있고 거짓일 수도 있습니다.

인증 실패 사유

인증 실패 사유. 인증이 실패한 경우에만 표시됩니다.

가용성 제공자 로그

가용성 공급자 이벤트는 WorkMail Amazon이 사용자를 대신하여 구성된 가용성 공급자에게 보내는 모든 가용성 요청에 대해 생성됩니다. 이러한 이벤트는 가용성 공급자 구성을 디버깅하는 데 유용합니다.

필드 설명

event_timestamp

이벤트가 발생한 시점 (Unix Epoch) 이후 밀리초 단위.

request_id

요청을 고유하게 식별하는 ID.

조직_arn

인증된 사용자가 WorkMail 속한 조직의 ARN입니다.

user_id

인증된 사용자의 ID.

유형

호출되는 가용성 공급자의 유형은 다음과 EWS 같을 수 있습니다. 또는. LAMBDA

도메인

가용성이 확보된 도메인.

function_arn

호출된 람다의 ARN (유형이 LAMBDA인 경우) 그렇지 않으면 이 필드는 존재하지 않습니다.

ews_endpoint

EWS 엔드포인트의 유형은 EWS입니다. 그렇지 않으면 이 필드는 표시되지 않습니다.

error_message

실패 원인을 설명하는 메시지입니다. 요청이 성공한 경우 이 필드는 표시되지 않습니다.

가용성_이벤트_성공

가용성 요청이 성공적으로 처리되었는지 여부.