本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檔案存取稽核
適用於 Windows 檔案伺服器的 Amazon FSx 支援稽核使用者對檔案、資料夾和檔案共用的存取。您可以選擇將稽核事件記錄傳送至一組豐富的其他 AWS 服務,以便查詢、處理、儲存和封存記錄、發出通知及觸發動作,進一步提升安全性與合規性目標。
如需有關使用檔案存取稽核取得存取模式的深入資訊,並針對使用者活動實作安全性通知,請參閱檔案儲存存取模式深入解析
檔案存取稽核概觀
檔案存取稽核可讓您根據您定義的稽核控制,記錄使用者對個別檔案、資料夾和檔案共用的存取。稽核控制項也稱為 NTFS 系統存取控制清單 (SACL)。如果您已在現有檔案資料上設定稽核控制,則可以建立新的 Amazon FSx for Windows 檔案伺服器檔案系統並移轉資料,以利用檔案存取稽核。
Amazon FSx 支援 Windows 針對檔案、資料夾和檔案共用存取提供的下列稽核事件:
對於文件訪問,它支持:全部,遍歷文件夾/執行文件,列出文件夾/讀取數據,讀取屬性,創建文件/寫入數據,創建文件夾/附加數據,寫入屬性,刪除子文件夾和文件,刪除,讀取權限,更改權限和獲取所有權。
對於文件共享訪問,它支持:Connect 到文件共享。
Amazon FSx 跨檔案、資料夾和檔案共用存取,支援記錄成功嘗試 (例如擁有足夠權限的使用者成功存取檔案或檔案共用)、失敗嘗試或兩者。
您可以設定是否只要對檔案和資料夾、僅對檔案共用或兩者進行存取稽核。您也可以設定應記錄哪些類型的存取 (僅限成功嘗試、僅嘗試失敗,或兩者皆記錄)。您也可以隨時關閉檔案存取稽核。
注意
檔案存取稽核只會記錄一般使用者在啟用資料之後的存取資料。也就是說,檔案存取稽核不會產生在啟用檔案存取稽核之前所發生之使用者檔案、資料夾和檔案共用存取活動的稽核事件記錄。
支援的最大存取稽核事件速率為每秒 5,000 個事件。不會針對每個檔案讀取和寫入作業產生存取稽核事件,而是在每個檔案中繼資料作業 (例如使用者建立、開啟或刪除檔案時) 產生一次。
稽核事件記錄目的地
啟用後,檔案存取稽核功能必須具有已設定的 AWS 服務,Amazon FSx 會將稽核事件日誌傳送至該服務。此稽核事件日誌目的地必須是 CloudWatch 日誌日誌群組中的 Amazon CloudWatch 日誌串流,或是 Amazon 資料 Firehose 交付串流。您可以在建立適用於 Windows 檔案伺服器的 Amazon FSx 檔案系統時選擇稽核事件日誌目的地,或之後再進行更新。如需詳細資訊,請參閱 管理檔案存取稽核。
以下是一些建議,可協助您決定要選擇哪些稽核事件記錄檔目的地:
-
如果您要在 Amazon CloudWatch 主控台中存放、檢視和搜尋稽核事件日誌,請選擇「 CloudWatch 記錄檔」、使用 CloudWatch 日誌深入解析在日誌上執行查詢,以及觸發 CloudWatch 警示或 Lambda 函數。
-
如果您想要將事件持續串流至 Amazon S3 中的儲存、Amazon Redshift 中的資料庫、Amazon OpenSearch 服務,或是 AWS 合作夥伴解決方案 (例如 Splunk 或 Datadog) 以進行進一步分析,請選擇 Firehose。
根據預設,Amazon FSx 會在您的帳戶中建立並使用預設的 CloudWatch 日誌日誌群組做為稽核事件日誌目的地。如果您想要使用自訂 CloudWatch 記錄檔記錄群組或使用 Firehose 做為稽核事件記錄目的地,以下是稽核事件記錄目標的名稱和位置的需求:
-
CloudWatch 記錄檔記錄群組的名稱必須以
/aws/fsx/前置詞開頭。如果在主控台上建立或更新檔案系統時沒有現有的 CloudWatch 日誌日誌群組,Amazon FSx 可以在日誌日誌群組中建立和使用預設 CloudWatch 日/aws/fsx/windows誌串流。如果您不想使用預設的記錄群組,設定 UI 可讓您在主控台上建立或更新檔案系統時,建立 CloudWatch 記錄檔記錄群組。 -
Firehose 傳送串流的名稱必須以
aws-fsx-字首開頭。如果您沒有現有的 Firehose 傳遞串流,您可以在主控台建立或更新檔案系統時建立一個串流。 -
Firehose 傳送串流必須設定
Direct PUT為使用作為其來源。您無法使用現有的 Kinesis 資料串流作為交付串流的資料來源。 -
目的地 ( CloudWatch 日誌記錄群組或 Firehose 交付串流) 必須與 AWS 帳戶 Amazon FSx 檔案系統位於相同的 AWS 分割區中。 AWS 區域
您可以隨時變更稽核事件記錄目的地 (例如,從 CloudWatch 記錄檔變更為 Firehose)。當您這麼做時,新的稽核事件記錄只會傳送至新的目的地。
最好的工作審核事件日誌傳遞
稽核事件記錄通常會在幾分鐘內傳送,但有時候可能需要更長的時間。在極少數情況下,稽核事件記錄可能會遺漏。如果您的使用案例需要特定的語意 (例如,確保沒有遺漏稽核事件),建議您在設計工作流程時將遺漏的事件列入考量。您可以掃描檔案系統上的檔案和資料夾結構來稽核遺漏的事件。
稽核檔案和資料夾的存取
您需要針對要稽核使用者存取嘗試進行稽核的檔案和資料夾設定稽核控制。稽核控制項也稱為 NTFS 系統存取控制清單 (SACL)。
您可以使用 Windows 原生 GUI 介面或以程式設計方式使用 Windows PowerShell 命令來設定稽核控制項。如果啟用繼承,您通常只需要在要記錄存取的頂層資料夾上設定稽核控制。
使用視窗圖形用戶界面來設定稽核存取
若要使用 GUI 來設定檔案和資料夾的稽核控制項,請使用 Windows 檔案總管。在指定檔案或資料夾上,開啟 Windows 檔案總管,然後選取 [內容] > [安全性] > [進階] > [稽核] 索引標籤
下列稽核控制範例會稽核資料夾的成功事件。每當管理員使用者開啟控制代碼以便成功讀取時,就會發出 Windows 事件記錄項目。
![Windows 檔案總管 [稽核] 索引標籤,用來設定 Windows 檔案存取稽核之檔案和資料夾的稽核控制項。](images/faa-audit-control-gui.png)
「類型」字段表示您要稽核的操作。將此欄位設定為「成功」以稽核成功嘗試,將無法稽核失敗的嘗試次數,或將「全部」設定為「全部」可稽核成功和失敗
如需稽核項目欄位的詳細資訊,請參閱 Microsoft 說明文件中的對檔案或資料夾套用基本稽核原則
使用 PowerShell 指令設定稽核存取
您可以使用 Microsoft 視窗Set-Acl指令在任何檔案或資料夾上設定稽核 SACL。如需有關此命令的資訊,請參閱 Microsoft S et-Acl
以下是使用一系列 PowerShell 命令和變數來設定成功嘗試稽核存取權的範例。您可以調整這些範例指令,以符合檔案系統的需求。
$path = "C:\Users\TestUser\Desktop\DemoTest\" $ACL = Get-Acl $path $ACL | Format-List $AuditUser = "TESTDOMAIN\TestUser" $AuditRules = "FullControl" $InheritType = "ContainerInherit,ObjectInherit" $AuditType = "Success" $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType) $ACL.SetAuditRule($AccessRule) $ACL | Set-Acl $path Get-Acl $path -Audit | Format-List
管理檔案存取稽核
您可以在建立適用於 Windows 檔案伺服器檔案系統的新 Amazon FSx 時啟用檔案存取稽核。當您從 Amazon FSx 主控台建立檔案系統時,預設會關閉檔案存取稽核。
在已啟用檔案存取稽核的現有檔案系統上,您可以變更檔案存取稽核設定,包括變更檔案和檔案共用存取的存取嘗試類型,以及稽核事件記錄目的地。您可以使用 Amazon FSx 主控台或 API 來執行這些任務。 AWS CLI
注意
只有輸送量容量為 32 MB/s 或以上的 Windows 檔案伺服器檔案系統的 Amazon FSx 才支援檔案存取稽核。如果啟用了檔案存取稽核,則無法建立或更新輸送容量小於 32 MB/s 的檔案系統。您可以在建立檔案系統之後隨時修改輸送量容量。如需詳細資訊,請參閱 管理輸送量容量。
-
開啟 Amazon FSx 主控台,網址為 https://console.aws.amazon.com/fsx/
。 請遵循〈入門〉一節中所述的步驟 1:建立檔案系統建立新檔案系統的程序。
開啟 [稽核-選用] 區段。依預設,會停用檔案存取稽核。
![[建立檔案系統] 精靈的 [稽核-選用] 區段,顯示檔案存取稽核預設為關閉狀態。](images/faa-create-wizard.png)
-
若要啟用和設定檔案存取稽核,請執行下列動作。
-
對於檔案和資料夾的記錄存取,請選取成功和/或失敗嘗試的記錄。如果您未進行選取,則會停用檔案和資料夾的記錄功能。
-
對於記錄檔案共用的存取,請選取成功和/或失敗嘗試的記錄。如果您未進行選取,則會停用檔案共用的記錄功能。
針對 [選擇稽核事件記錄目的地],選擇 [CloudWatch 記錄檔] 或 [Firehose]。然後選擇現有的記錄或傳送串流,或建立新的記錄檔或傳送串流。對於 CloudWatch 日誌,Amazon FSx 可以在日誌日誌群組中建立和使用預設 CloudWatch 日
/aws/fsx/windows誌串流。
以下是檔案存取稽核組態的範例,此設定將稽核一般使用者對檔案、資料夾和檔案共用的成功和失敗存取嘗試。稽核事件記錄檔將傳送至預設的 CloudWatch 記錄檔記
/aws/fsx/windows錄群組目的地。
-
-
繼續執行檔案系統建立精靈的下一節。
當檔案系統可用時,會啟用檔案存取稽核功能。
建立新檔案系統時,請搭配 CreateFileSystemAPI 作業使用
AuditLogConfiguration屬性,以啟用新檔案系統的檔案存取稽核功能。aws fsx create-file-system \ --file-system-type WINDOWS \ --storage-capacity 300 \ --subnet-ids subnet-123456 \ --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \ FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \ AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'-
當檔案系統可用時,會啟用檔案存取稽核功能。
開啟 Amazon FSx 主控台,網址為 https://console.aws.amazon.com/fsx/
。 瀏覽至 [檔案系統],然後選擇您要管理其檔案存取稽核的 Windows 檔案系統。
選擇 [管理] 索引標籤。
在「檔案存取稽核」面板上,選擇「管理」。
在「管理檔案存取稽核設定」對話方塊中,變更所需的設定。
-
對於檔案和資料夾的記錄存取,請選取成功和/或失敗嘗試的記錄。如果您未進行選取,則會停用檔案和資料夾的記錄功能。
-
對於記錄檔案共用的存取,請選取成功和/或失敗嘗試的記錄。如果您未進行選取,則會停用檔案共用的記錄功能。
針對 [選擇稽核事件記錄目的地],選擇 [CloudWatch 記錄檔] 或 [Firehose]。然後選擇現有的記錄或傳送串流,或建立新的記錄檔或傳送串流。
-
-
選擇儲存。
使用
update-file-systemCLI 命令或等效的UpdateFileSystemAPI 作業。aws fsx update-file-system \ --file-system-id fs-0123456789abcdef0 \ --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \ FileShareAccessAuditLogLevel="FAILURE_ONLY", \ AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
遷移稽核控制
如果現有檔案資料已設定稽核控制 (SACL),則可以建立 Amazon FSx 檔案系統,然後將資料遷移到新的檔案系統。我們建議您 AWS DataSync 使用將資料和相關的 SACL 傳輸到 Amazon FSx 檔案系統。作為替代解決方案,您可以使用 Robocopy(強大的文件複製)。如需詳細資訊,請參閱 將現有的檔案儲存遷移到 Amazon FSx。
檢視事件記錄
您可以在 Amazon FSx 開始發出稽核事件日誌後檢視這些日誌。檢視記錄的位置和方式取決於稽核事件記錄檔目的地:
-
您可以前往 CloudWatch 主控台並選擇要傳送稽核事件記 CloudWatch 錄檔的記錄群組和記錄資料流,以檢視記錄檔記錄。如需詳細資訊,請參閱 Amazon CloudWatch 日誌使用者指南中的檢視傳送至 CloudWatch 日誌的日誌資料。
您可以使用 CloudWatch 日誌深入解析,以互動方式搜尋和分析記錄資料。如需詳細資訊,請參閱 Amazon CloudWatch 日誌使用者指南中的使用日誌洞察分析 CloudWatch 日誌資料。
您也可以將稽核事件日誌匯出到 Amazon S3。如需詳細資訊,請參閱 Amazon CloudWatch 日誌使用者指南中的將日誌資料匯出到 Amazon S3。
-
您無法在 Firehose 上檢視稽核事件記錄檔。不過,您可以設定 Firehose 將記錄檔轉寄至您可以讀取的目的地。目的地包括 Amazon S3、Amazon Redshift、Amazon OpenSearch 服務以及合作夥伴解決方案,如需詳細資訊,請參閱 Amazon 資料 Firehose 開發人員指南中的選擇目的地。
稽核事件欄位
本節提供稽核事件記錄檔中資訊的說明,以及稽核事件範例。
以下是 Windows 稽核事件中重要欄位的描述。
-
事件 ID 是指微軟定義的視窗事件記錄檔事件識別碼。如需檔案系統事件和檔案共用事
件的相關資訊,請參閱 Microsoft 文件 。 -
SubjectUserName指執行存取的使用者。
-
ObjectName指的是存取的目標檔案、資料夾或檔案共用。
-
ShareName可用於針對檔案共用存取產生的事件。例如,
EventID 5140在存取網路共用物件時產生。 -
IpAddress是指針對檔案共用事件起始事件的用戶端。
-
關鍵字(如果可用)是指文件訪問成功還是失敗。對於成功的訪問,值是
0x8020000000000000。對於失敗的存取,值為0x8010000000000000。 -
TimeCreated SystemTime指事件在系統中產生並以 <YYYY-MM-DDThh:mm:ss.s>Z 格式顯示的時間。
-
電腦是指檔案系統 Windows 遠 PowerShell 端端點的 DNS 名稱,可用來識別檔案系統。
-
AccessMask(如果可用) 是指執行的檔案存取類型 (例如, ReadData、 WriteData)。
-
AccessList是指請求或授予對象的訪問權限。如需詳細資訊,請參閱下表和 Microsoft 文件 (例如在事件 4556
中)。
| 存取類型 | 存取遮罩 | Value |
|---|---|---|
|
讀取資料或清單目錄 |
0x1 |
%%4416 |
|
寫入資料或新增檔案 |
0x2 |
%%4417 |
|
附加資料或新增子目錄 |
0X4 |
%%4418 |
|
讀取延伸屬性 |
0X8 |
%%4419 |
|
寫入擴充屬性 |
0X10 |
%%4420 |
|
執行/周轉 |
0X20 |
%%4421 |
|
刪除子系 |
0X40 |
%%4422 |
|
讀取屬性 |
0x80 |
%%4423 |
|
寫入屬性 |
0X100 |
%%4424 |
|
Delete |
0x10000 |
%%1537 |
|
讀取 ACL |
0x20000 |
%%1538 |
|
寫入 ACL |
0x40000 |
%%1539 |
|
寫入擁有者 |
0x80000 |
%%1540 |
|
同步 |
0x100000 |
%%1541 |
|
存取安全性 ACL |
0x1000000 |
%%1542 |
以下是一些具有例子的關鍵事件。請注意,XML 已格式化以提高可讀性。
刪除物件時,會記錄事件識別碼 4660。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4660</EventID><Version>0</Version><Level>0</Level> <Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/> <EventRecordID>315452</EventRecordID><Correlation/> <Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data> <Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>
刪除檔案的請求會記錄事件識別碼 4659。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/> <EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1537 %%4423 </Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data> <Data Name='ProcessId'>0x4</Data></EventData></Event>
對物件執行特定作業時,會記錄事件識別碼 4663。下面的例子顯示了從一個文件,它可以被解釋讀取數據AccessList %%4416。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/> <EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416 </Data> <Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data> </EventData></Event>
下面的例子顯示了從文件,它可以從解釋寫/追加數據。AccessList %%4417
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/> <EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data> <Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417 </Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>
事件識別碼 4656 表示已要求物件的特定存取權。在下列範例中,「讀取」要求初始化為 ObjectName 「最佳」,而且嘗試失敗,如的「關鍵字」值所示。0x8010000000000000
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/> <EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data> <Data Name='AccessList'>%%1541 %%4416 %%4423 </Data><Data Name='AccessReason'>%%1541: %%1805 %%4416: %%1805 %%4423: %%1811 D:(A;OICI;0x1301bf;;;AU) </Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data> <Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data> <Data Name='ResourceAttributes'>-</Data></EventData></Event>
當物件的權限變更時,會記錄事件識別碼 4670。下列範例顯示使用者「管理員」修改了「權限測試」上的權限,以將權限新增至 SID ObjectName 「S-1-5-21-6584921-4185342820-3824891517-1113」。如需有關如何解譯權限的詳細資訊,請參閱 Microsoft 文件。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4670</EventID><Version>0</Version><Level>0</Level> <Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel> <Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data> <Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data> <Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data> <Data Name='HandleId'>0xcc8</Data> <Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data> <Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;; S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data> <Data Name='ProcessName'></Data></EventData></Event>
每次存取檔案共用時,都會記錄事件識別碼 5140。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/> <EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/> <Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System> <EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data> <Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data> <Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data> <Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416 </Data></EventData></Event>
在檔案共用層級拒絕存取時,會記錄事件識別碼 5145。下面的例子顯示了訪問 ShareName 「demoshare01」被拒絕。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>5145</EventID><Version>0</Version><Level>0</Level> <Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID> <Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel> <Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData> <Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517- 1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data> <Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data> <Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data> <Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data> <Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data> <Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538: %%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>
如果您使用 CloudWatch Logs Insights 搜尋記錄資料,您可以在事件欄位上執行查詢,如下列範例所示:
-
若要查詢特定事件 ID,請執行下列動作
fields @message | filter @message like /4660/ -
若要查詢符合特定檔案名稱的所有事件:
fields @message | filter @message like /event.txt/
如需 CloudWatch 日誌見解查詢語言的詳細資訊,請參閱 Amazon Logs 使用者指南中的「利用 CloudWatch 日誌洞察分析 CloudWatch 日誌資料」。
