文件访问审计 - Amazon FSx for Windows File Server

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

文件访问审计

用于对 Amazon FSx for Windows File Server 支持。您可以选择将审计事件日志发送到一组丰富的其他AWS服务,支持查询、处理、存储和存档日志、发布通知和触发操作,从而进一步推进您的安全与合规性目标。

文件访问审计概述

文件访问审计使您能够根据定义的审计控制来记录最终用户对单个文件、文件夹和文件共享的访问情况。审计控制也称为 NTFS 系统访问控制列表(SACL)。如果您已经对现有文件数据设置了审计控制,则可以通过创建新的 Amazon FsX for Windows File Server 文件系统并迁移数据来利用文件访问审计。

Amazon FSx 支持 Windows 为文件、文件夹和文件共享访问提供的以下审计事件:

  • 对于文件访问,它支持:全部、遍历文件夹/执行文件、列出文件夹/读取数据、读取属性、创建文件/写入数据、创建文件夹/追加数据、写入属性、删除子文件夹和文件、删除、读取权限、更改权限和获取所有权。

  • 对于文件共享访问,它支持:Connect 文件共享。

在文件、文件夹和文件共享访问中,Amazon FSx 支持记录成功的尝试(例如拥有足够权限的用户成功访问文件或文件共享)、失败的尝试或两者。

您可以配置是只想对文件和文件夹进行访问审计,还是只对文件共享进行访问审计,或者两者兼而有之。您还可以配置应记录哪些类型的访问(仅限成功尝试、仅限失败尝试或两者兼而有之)。您还可以随时关闭文件访问审核。

注意

文件访问审计仅记录自启用之时起的最终用户访问数据。也就是说,文件访问审计不会生成在启用文件访问审计之前发生的最终用户文件、文件夹和文件共享访问活动的审计事件日志。

支持的最大访问审计事件速率为每秒 5,000 个事件。访问审计事件不是针对每个文件读取和写入操作生成的,而是为每个文件元数据操作生成一次,例如当用户创建、打开或删除文件时。

审计事件日志目的地

启用文件访问审计功能后,必须配置有已配置的AWS服务,Amazon FSx 会向该服务发送审计事件日志。此审计事件日志目的地必须是日志日志组中的亚马逊 CloudWatch 日志流或 Amazon Kinesis Data CloudWatch Firehose 传输流。您可以在创建 Amazon FSx for Windows File Server 文件系统。有关更多信息,请参阅管理文件访问审计

以下是一些建议,可以帮助您决定选择哪个审计事件日志目的地:

  • 如果您想要在亚马逊 CloudWatch 控制台中存储、查看和搜索审计事件日志,使用 Logs Insights 对日志运行查询,以及触发 CloudWatch 警报或 Lambda 函数,请选择 CloudWatch CloudWatch 日志。

  • 如果您想将事件持续传输到 Amazon S3 中的存储、Amazon Redshift ft 中的数据库、亚马逊 OpenSearch 服务或AWS合作伙伴解决方案(例如 Splunk 或 Datadog)进行进一步分析,请选择 Kinesis Data Firehose。

默认情况下,Amazon FSx 将在您的账户中创建并使用默认 CloudWatch 的日志日志组作为审计事件日志目标。如果您想使用自定义 CloudWatch 日志日志组或使用 Kinesis Data Firehose 作为审核事件日志目标,则对审核事件日志目标的名称和位置有以下要求:

  • Lo CloudWatch gs 日志组的名称必须/aws/fsx/以前缀开头。如果您在控制台上创建或更新文件系统时没有现有 CloudWatch 的日志日志组,Amazon FSx 可以在日志日志组中创建和使用默认 CloudWatch /aws/fsx/windows日志流。如果您不想使用默认日志组,则配置界面允许您在控制台上创建或更新文件系统时创建 CloudWatch 日志日志组。

  • Kinesis Data Firehose 传输流的名称必须aws-fsx-以前缀开头。如果您没有现有 Kinesis Data Firehose 传输流,则可以在控制台创建或更新文件系统时创建一个。

  • 必须将 Kinesis Data Firehose 传输流配置为将其用Direct PUT作其源。您不能使用现有的 Kinesis 数据流作为交付流的数据源。

  • 目标(Logs CloudWatch 日志组或 Kinesis Data Firehose 传输流)必须与您的 Amazon FSx 文件系统位于同一个AWS分区AWS 区域、和AWS 账户。

您可以随时更改审核事件日志的目的地(例如,从 Lo CloudWatch gs 更改为 Kinesis Data Firehose)。当您这样做时,新的审计事件日志只会发送到新目的地。

尽最大努力提交审计事件日志

通常,审计事件日志记录在几分钟内交付,但有时可能需要更长的时间。在极少数情况下,审计事件日志记录可能会丢失。如果您的用例需要特定的语义(例如,确保不遗漏任何审计事件),我们建议您在设计工作流程时考虑遗漏的事件。您可以通过扫描文件系统上的文件和文件夹结构来审核遗漏的事件。

审计文件和文件夹的审核访问

您需要对用户访问尝试进行审计的文件和文件夹设置审计控制。审计控制也称为 NTFS 系统访问控制列表(SACL)。

您可以使用 Windows 原生 GUI 界面配置审计控件,也可以使用 Windows PowerShell 命令以编程方式配置审计控件。如果启用继承,则通常只需要对要记录访问权限的顶级文件夹设置审计控制。

使用 Windows 图形用户界面设置审计访问权限

要使用 GUI 对文件和文件夹设置审计控件,请使用 Windows 文件资源管理器。在给定的文件或文件夹上,打开 Windows 文件资源管理器并选择 “属性” > “安全” > “高级” > “审计” 选项卡。

以下审计控制示例审核文件夹的成功事件。每当打开该句柄供管理员用户成功读取时,就会发出 Windows 事件日志条目。

Windows 文件资源管理器审核选项卡用于设置文件和文件夹的审计控制,以进行 Windows 文件访问审计。

类型” 字段指明要审计的操作。将此字段设置为 Suc ces s 可审核成功的尝试,将此字段设置为 “失”,或将此字段设置为 “全部” 以审计成功和失败的尝试。

有关审计输入字段的更多信息,请参阅 Microsoft 文档中的对文件或文件夹应用基本审计策略

使用 PowerShell 命令设置审计访问权限

你可以使用微软 WindowsSet-Acl 命令在任何文件或文件夹上设置审计 SACL。有关此命令的信息,请参阅微软 S et-Acl 文档。

以下是使用一系列 PowerShell 命令和变量为成功尝试设置审计访问权限的示例。您可以调整这些示例命令以满足文件系统的需求。

$path = "C:\Users\TestUser\Desktop\DemoTest\" $ACL = Get-Acl $path $ACL | Format-List $AuditUser = "TESTDOMAIN\TestUser" $AuditRules = "FullControl" $InheritType = "ContainerInherit,ObjectInherit" $AuditType = "Success" $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType) $ACL.SetAuditRule($AccessRule) $ACL | Set-Acl $path Get-Acl $path -Audit | Format-List

管理文件访问审计

您可以在创建新的 Amazon FSx for Windows File Server 文件系统。当您从 Amazon FSx 控制台创建文件系统时,文件访问审计默认处于关闭状态。

在启用了文件访问审计的现有文件系统上,您可以更改文件访问审计设置,包括更改文件和文件共享访问的访问尝试类型以及审核事件日志目标。您可以使用 Amazon FSx 控制台或 Amazon FSx 控制台或。AWS CLI

注意

只有吞吐量为 32 MB/s 或更高的 Windows 文件服务器文件系统的 Amazon FSx 支持文件访问审计。如果启用了文件访问审计,则无法创建或更新吞吐量小于 32 MB/s 的文件系统。创建文件系统后,您可以随时修改吞吐容量。有关更多信息,请参阅管理吞吐量容量

  1. 通过 https://console.aws.amazon.com/fsx/ 打开亚马逊 FSx 控制台。

  2. 按照 “入门” 部分第 1 步:创建文件系统中描述的创建新文件系统的步骤进行操作。

  3. 打开 “审计-可选” 部分。默认情况下,禁用文件访问审核。

    创建文件系统向导的 “审计-可选” 部分,显示默认情况下文件访问审核处于关闭状态。
  4. 要启用和配置文件访问审核,请执行以下操作。

    • 对于记录文件和文件夹的访问权限,选择记录成功和/或失败的尝试。如果您未做出选择,则禁用文件和文件夹的日志记录。

    • 对于文件共享的日志访问权限,选择记录成功和/或失败的尝试。如果您未做出选择,则禁用文件共享的日志记录。

    • 对于 “选择审核事件日志目的地”,选择 “CloudWatch 日志” 或 “Kinesis Data Firehose”。然后选择现有日志或传输流,或创建新的日志或传输流。对于 CloudWatch 日志,Amazon FSx 可以在日志日志组中创建和使用默认 CloudWatch /aws/fsx/windows日志流。

    以下是文件访问审计配置的示例,该配置将审计最终用户对文件、文件夹和文件共享的成功和失败访问尝试。审计事件日志将发送到默认 CloudWatch 的日/aws/fsx/windows志日志组目标。

    文件系统的文件访问审计配置示例。
  5. 继续执行文件系统创建向导的下一部分。

当文件系统可用时,将启用文件访问审计功能。

  1. 创建新文件系统时,将AuditLogConfiguration属性与 CreateFileSystemAPI 操作一起使用,为新文件系统启用文件访问审计。

    aws fsx create-file-system \ --file-system-type WINDOWS \ --storage-capacity 300 \ --subnet-ids subnet-123456 \ --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \ FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \ AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
  2. 当文件系统可用时,将启用文件访问审计功能。

  1. 通过 https://console.aws.amazon.com/fsx/ 打开亚马逊 FSx 控制台。

  2. 导航到文件系统,然后选择要管理其文件访问审核的 Windows 文件系统。

  3. 选择 “管理” 选项卡。

  4. 在 “文件访问审计” 面板上,选择 “管理”。

    
                FSx 控制台文件访问审计面板,显示文件访问审计配置。
  5. 在 “管理文件访问审计设置” 对话框中,更改所需的设置。

    
                FSx 控制台文件访问审计面板,使用此面板修改文件访问审计配置。
    • 对于记录文件和文件夹的访问权限,选择记录成功和/或失败的尝试。如果您未做出选择,则禁用文件和文件夹的日志记录。

    • 对于文件共享的日志访问权限,选择记录成功和/或失败的尝试。如果您未做出选择,则禁用文件共享的日志记录。

    • 对于 “选择审核事件日志目的地”,选择 “CloudWatch 日志” 或 “Kinesis Data Firehose”。然后选择现有日志或传输流,或创建新的日志或传输流。

  6. 选择 Save(保存)。

  • 使用 C update-file-systemLI 命令或等效的 UpdateFileSystemAPI 操作。

    aws fsx update-file-system \ --file-system-id fs-0123456789abcdef0 \ --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \ FileShareAccessAuditLogLevel="FAILURE_ONLY", \ AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'

迁移您的审计控制

如果您已经对现有文件数据设置了审计控制 (SACL),则可以创建 Amazon FSx 文件系统并将数据迁移到新的文件系统。我们建议使用AWS DataSync将数据和相关的 SACL 传输到 Amazon FSx 文件系统。作为替代解决方案,您可以使用Robocopy(强大的文件复制)。有关更多信息,请参阅将现有文件存储迁移到 Amazon FSx

查看事件日志

您可以在 Amazon FSx 开始发送审计事件日志后查看这些日志。查看日志的位置和方式取决于审计事件日志的目的地:

  • 您可以通过访问 CloudWatch 控制台并选择将审核事件日志发送到的日志组和日志流来查看 CloudWatch 日志日志。有关更多信息,请参阅 Amazon Logs 用户指南中的查看发送到 CloudWatch CloudWatch 日志的日志数据

    您可以使用 CloudWatch Logs Insights 以交互方式搜索和分析您的日志数据。有关更多信息,请参阅《亚马逊日志用户指南》中的 “使用 Lo CloudWatch gs Insights 分析 CloudWatch 日志数据”。

    您还可以将审核事件日志导出到 Amazon S3。有关更多信息,请参阅《亚马逊日志用户指南》中的 “将日志数据导出到 Amazon CloudWatch S3”。

  • 你无法在 Kinesis Data Firehose 上查看审核事件日志。但是,您可以将 Kinesis Data Firehose 配置为将日志转发到可以读取的目的地。目的地包括Amazon S3、Amazon Redshift、Amazon Serv OpenSearch ice 以及 Splunk 和 Datadog 等合作伙伴解决方案,有关更多信息,请参阅 Amazon Kinesis Data Firehose 开发者指南中的选择目的地

审计事件字段

本节介绍审计事件日志中的信息以及审计事件的示例。

以下是对 Windows 审计事件中重要字段的描述。

  • EventID 是指微软定义的 Windows 事件日志事件 ID。有关文件系统事件和文件共享事件的信息,请参阅 Microsoft 文档。

  • SubjectUserName指执行访问的用户。

  • ObjectName指访问的目标文件、文件夹或文件共享。

  • ShareName适用于为文件共享访问而生成的事件。例如,EventID 5140在访问网络共享对象时生成。

  • IpAddress指启动文件共享事件事件的客户端。

  • 关键字(如果有)是指文件访问成功还是失败。对于成功的访问,值为0x8020000000000000。对于失败的访问,值为0x8010000000000000

  • TimeCreated SystemTime指事件在系统中生成并<YYYY-MM-DDThh:mm:ss.s>以 Z 格式显示的时间。

  • 计算机是指文件系统 Windows Remote E PowerShell ndpoint 的 DNS 名称,可用于识别文件系统。

  • AccessMask,如果可用,则指执行的文件访问的类型(例如, ReadData, WriteData)。

  • AccessList指请求或授予对对象的访问权限。有关详细信息,请参阅下表和微软文档(例如在 E vent 4556 中)。

访问权限类型 访问屏蔽

读取数据或列出目录

0x1

%%4416

写入数据或添加文件

0x2

%%4417

追加数据或添加子目录

0x4

%%4418

读取扩展属性

0x8

%%4419

写入扩展属性

0x10

%%4420

执行/遍历

0x20

%%4421

删除孩子

0x40

%%4422

读取属性

0x80

%%4423

写入属性

0x100

%%4424

删除

0x10000

%%1537

读取 ACL

0x20000

%%1538

写入 ACL

0x40000

%%1539

写信所有者

0x80000

%%1540

同步

0x100000

%%1541

访问安全 ACL

0x1000000

%%1542

以下是一些关键事件与示例。请注意,XML 的格式是为了便于阅读。

删除对象时会记录@@ 事件 ID 4660

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4660</EventID><Version>0</Version><Level>0</Level> <Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/> <EventRecordID>315452</EventRecordID><Correlation/> <Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data> <Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>

请求删除文件时会记录@@ 事件 ID 4659

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/> <EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1537 %%4423 </Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data> <Data Name='ProcessId'>0x4</Data></EventData></Event>

对对象执行特定操作时会记录@@ 事件 ID 4663。以下示例显示了从文件读取数据,可以从中对其进行解释AccessList %%4416

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/> <EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416 </Data> <Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data> </EventData></Event>

以下示例显示了从文件写入/追加数据,可以从中解释AccessList %%4417

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/> <EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417 </Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>

事件 ID 4656 表示请求了对对象的特定访问权限。在以下示例中,读取请求是向 ObjectName “permtest” 发起的,但尝试失败,如的关键字值所示0x8010000000000000

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/> <EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1541 %%4416 %%4423 </Data><Data Name='AccessReason'>%%1541: %%1805 %%4416: %%1805 %%4423: %%1811 D:(A;OICI;0x1301bf;;;AU) </Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data> <Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='ResourceAttributes'>-</Data></EventData></Event>

更改对象权限时,将记录@@ 事件 ID 4670。以下示例显示用户 “管理员” 修改了 ObjectName “permtest” 的权限,为 SID “S-1-5-21-658495921-4185342820-3824891517-1113” 添加权限。有关如何解释权限的更多信息,请参阅 Microsoft 文档。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4670</EventID><Version>0</Version><Level>0</Level> <Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0xcc8</Data> <Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data> <Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;; S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data></EventData></Event>

每次访问文件共享时都会记录@@ 事件 ID 5140

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/> <EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data> <Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data> <Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data> <Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416 </Data></EventData></Event>

在文件共享级别拒绝访问时,将记录@@ 事件 ID 5145。以下示例显示对 ShareName “demoshare01” 的访问被拒绝。

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5145</EventID><Version>0</Version><Level>0</Level> <Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel> <Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517- 1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data> <Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data> <Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data> <Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data> <Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538: %%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>

如果您使用 Lo CloudWatch gs Insights 搜索日志数据,则可以在事件字段上运行查询,如以下示例所示:

  • 要查询特定事件 ID,请执行以下操作:

    fields @message | filter @message like /4660/
  • 要查询与特定文件名匹配的所有事件,请执行以下操作:

    fields @message | filter @message like /event.txt/

有关 Lo CloudWatch gs Insights 查询语言的更多信息,请参阅《亚马逊日志用户指南》中的 “使用 Lo CloudWatch gs Insights 分析 CloudWatch 日志数据”。