監査ログをCloudWatchLogsに出力する
Amazon FSx for Windows File Serverでファイルアクセス監査が可能になりましたので、その設定手順です。
https://aws.amazon.com/jp/blogs/news/amazon-fsx-for-windows-file-server-audit-logging/
前提
Aws/FSx/自己管理型ActiveDirectoryにFSxを作成するを参考に、FSxファイルシステムが作成された状態から始めます。
ファイルアクセス監査の設定手順
以下の設定を実施します。
・ドメイン管理者で、FSx用ユーザにリモートデスクトップを許可する
・FSx用ユーザで、マウントしたFSxファイルシステムの監査設定を実施する
- FSx用ユーザにリモートデスクトップを許可する
-
ドメインの環境にもよりますが、私の場合は一時的に[Domain Admins]を付与しました。※設定後はリモート接続不要なので解除しました。
Aws/FSx/自己管理型ActiveDirectoryにFSxを作成するを例にすると、下図のようになります。
- FSxファイルシステムの監査設定を実施する
-
①FSx用ユーザで、ファイルシステムをマウントするOSにログオンします。(手順割愛)
②コマンドプロンプトから、ファイルシステムのマウントコマンドを実行します。
③マウントしたファイルシステムのプロパティを開きます。
④プロパティが開いたら[セキュリティ]タブの[詳細設定]をクリックします。
⑤[セキュリティの詳細設定]が開いたら[追加]をクリックし、[監査のエントリ]が開いたら[プリンシパルの選択]をクリックします。
※「このオブジェクトの監査設定を表示または編集するアクセス許可がありません。」と表示された方は「FSxファイルシステム作成時に使用したドメインユーザ」で実施してないと思われます。
⑥選択するオブジェクト名に「Everyone」を入力し[OK]をクリックします。
「Everyone」だと、全てのユーザが対象となるようで、対象を絞りたい場合は個別のユーザやグループを指定すると出力されるログを絞ることもできました。
※監査の意味合いだと「Everyone」が良いのかなと思います。
⑦[監査のエントリ]画面に戻るので、以下の設定を実施し[OK]をクリックします。
・種類:すべて
・適用先:このフォルダー、サブフォルダーおよびファイル
・基本のアクセス許可:フルコントロール
⑧[セキュリティの詳細設定]画面に戻るので、赤枠の設定を確認し[OK]をクリックします。
動作確認
- CloudWatchLogs
-
いくつかファイルの読み書き/削除などしたところ問題なくCloudWatchLogsに記録されました。
操作ごとのイベントは、下記公式ドキュメントを参照ください。
https://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/file-access-auditing.html#migrate-faa
