监控 Amazon WorkMail 审计日志

您可以使用审核日志来监控对您的 Amazon WorkMail 组织邮箱的访问情况。亚马逊 WorkMail 记录四种类型的审计事件，这些事件可以发布到 CloudWatch 日志、Amazon S3 或 Amazon Firehouse。您可以使用审核日志来监控用户与组织邮箱的互动、身份验证尝试、访问控制规则评估，以及对外部系统执行可用性提供商调用。有关配置审核日志的信息，请参见启用审核日志。

以下各节介绍了 Amazon WorkMail 记录的审计事件、事件的传输时间以及有关事件字段的信息。

邮箱访问日志

邮箱访问事件提供有关对哪个邮箱对象采取（或尝试）了哪些操作的信息。您尝试对邮箱中的项目或文件夹执行的每项操作都会生成一个邮箱访问事件。这些事件对于审核对邮箱数据的访问非常有用。

字段	描述
event_timestamp	事件发生的时间，以 Unix 时代以来的毫秒为单位。
request_id	唯一标识请求的 ID。
组织_arn	经过身份验证的用户所属的和 Amazon WorkMail 组织的 ARN。
user_id	经过身份验证的用户的 ID。
impersonator_id	模仿者的 ID。仅当请求使用了模拟功能时才会出现。
protocol	使用的协议。协议可以是：`AutoDiscover`、、`EWSIMAP`、`WindowsOutlook`、`ActiveSync`、`SMTP`、`WebMail`、`IncomingEmail`、或`OutgoingEmail`。
来源_IP	请求的源 IP 地址。
user_agent	发出请求的用户代理。
action	对对象采取的操作，可以是：、、`read`、、、`read_hierarchy`、`read_summary`、`read_attachment`、`read_permissions`、`create`、`update`、`update_permissions`、`update_read_state`、`delete`、、`submit_email_for_sending`、`abort_sending_email`、`move`、`move_to`、`copy`、或`copy_to`。
owner_id	拥有被操作对象的用户的 ID。
object_type	对象类型，可以是：文件夹、消息或附件。
item_id	用于唯一标识作为事件主题的邮件或包含作为事件主题的附件的邮件的 ID。
文件夹路径	正在执行操作的文件夹的路径或包含正在处理的项目的文件夹的路径。
文件夹_id	唯一标识作为事件主题的文件夹或包含作为事件主题的对象的文件夹的 ID。
附件路径	受影响附件的显示名称路径。
允许动作	该操作是否被允许。可以是真的，也可以是假的。

访问控制日志

每当评估访问控制规则时，都会生成访问控制事件。这些日志对于审计禁止的访问或调试访问控制配置很有用。

字段	描述
event_timestamp	事件发生的时间，以 Unix 时代以来的毫秒为单位。
request_id	唯一标识请求的 ID。
组织_arn	经过身份验证的用户所 WorkMail 属组织的 ARN。
user_id	经过身份验证的用户的 ID。
impersonator_id	模仿者的 ID。仅当请求使用了模拟功能时才会出现。
protocol	使用的协议，可以是：`AutoDiscover`、`EWS`、`IMAP`、`WindowsOutlook`、`ActiveSync`、`SMTPWebMail`、`IncomingEmail`、或`OutgoingEmail`。
来源_IP	请求的源 IP 地址。
范围	规则的范围，可以是：`AccessControlDeviceAccessControl`、或`ImpersonationAccessControl`。
rule_id	匹配的访问控制规则的 ID。当没有匹配的规则时，rule_id 不可用。
访问权限_已授权	是否允许访问。可以是真的，也可以是假的。

身份验证日志

身份验证事件包含有关身份验证尝试的信息。

注意

不会为通过 Amazon WorkMail WebMail 应用程序的身份验证事件生成身份验证事件。

字段	描述
event_timestamp	事件发生的时间，以 Unix 时代以来的毫秒为单位。
request_id	唯一标识请求的 ID。
组织_arn	经过身份验证的用户所 WorkMail 属组织的 ARN。
user_id	经过身份验证的用户的 ID。
用户	尝试进行身份验证时使用的用户名。
protocol	使用的协议，可以是：`AutoDiscover`、`EWS`、`IMAP`、`WindowsOutlook`、`ActiveSync`、`SMTPWebMail`、`IncomingEmail`、或`OutgoingEmail`。
来源_IP	请求的源 IP 地址。
user_agent	发出请求的用户代理。
method	身份验证方法。当前，仅支持基本版。
身份验证成功	身份验证尝试是否成功。可以是真的，也可以是假的。
auth_failed_reason	身份验证失败的原因。仅在身份验证失败时才会出现。

可用性提供商日志

WorkMailAmazon 代表您向配置的可用性提供商发出的每个可用性请求都会生成可用性提供商事件。这些事件对于调试可用性提供商配置很有用。

字段	描述
event_timestamp	事件发生的时间，以 Unix 时代以来的毫秒为单位。
request_id	唯一标识请求的 ID。
组织_arn	经过身份验证的用户所 WorkMail 属组织的 ARN。
user_id	经过身份验证的用户的 ID。
type	正在调用的可用性提供程序的类型，可以是：`EWS`或`LAMBDA`。
域	获得可用性的域名。
function_arn	如果类型为 LAMBDA，则为被调用的 Lambda 的 ARN。否则，此字段不存在。
新闻端点	EWS 终端节点的类型为 EWS。否则，此字段不存在。
error_message	描述失败原因的消息。如果请求成功，则此字段不存在。
可用性_事件_成功	是否成功满足了可用性请求。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

监控 Amazon WorkMail 电子邮件事件日志

在 Amazon 上使用 CloudWatch 见解 WorkMail