~~NOCACHE~~
## 監査ログをCloudWatchLogsに出力する
Amazon FSx for Windows File Serverでファイルアクセス監査が可能になりましたので、その設定手順です。
https://aws.amazon.com/jp/blogs/news/amazon-fsx-for-windows-file-server-audit-logging/
### 前提
[[Aws:FSx:CreateFSxInSelfManagedActiveDirectory|Aws/FSx/自己管理型ActiveDirectoryにFSxを作成する]]を参考に、FSxファイルシステムが作成された状態から始めます。
### ファイルアクセス監査の設定手順
以下の設定を実施します。
・ドメイン管理者で、FSx用ユーザにリモートデスクトップを許可する
・FSx用ユーザで、マウントしたFSxファイルシステムの監査設定を実施する
--> FSx用ユーザにリモートデスクトップを許可する#
ドメインの環境にもよりますが、私の場合は一時的に[Domain Admins]を付与しました。※設定後はリモート接続不要なので解除しました。
{{:Aws:FSx:pasted:20210820-100523.png? direct 300x0}}
[[Aws:FSx:CreateFSxInSelfManagedActiveDirectory|Aws/FSx/自己管理型ActiveDirectoryにFSxを作成する]]を例にすると、下図のようになります。
{{:Aws:FSx:pasted:20210820-095529.png? direct 800x0}}
<--
--> FSxファイルシステムの監査設定を実施する#
①FSx用ユーザで、ファイルシステムをマウントするOSにログオンします。(手順割愛)
②コマンドプロンプトから、ファイルシステムのマウントコマンドを実行します。
{{:Aws:FSx:pasted:20210820-101412.png? direct 500x0}}
③マウントしたファイルシステムのプロパティを開きます。
{{:Aws:FSx:pasted:20210820-101948.png? direct 500x0}}
④プロパティが開いたら[セキュリティ]タブの[詳細設定]をクリックします。
{{:Aws:FSx:pasted:20210820-102133.png? direct 300x0}}
⑤[セキュリティの詳細設定]が開いたら[追加]をクリックし、[監査のエントリ]が開いたら[プリンシパルの選択]をクリックします。
※「このオブジェクトの監査設定を表示または編集するアクセス許可がありません。」と表示された方は「FSxファイルシステム作成時に使用したドメインユーザ」で実施してないと思われます。
{{:Aws:FSx:pasted:20210820-102433.png? direct 0x300}} {{:Aws:FSx:pasted:20210820-102724.png? direct 0x300}}
⑥選択するオブジェクト名に「Everyone」を入力し[OK]をクリックします。
「Everyone」だと、全てのユーザが対象となるようで、対象を絞りたい場合は個別のユーザやグループを指定すると出力されるログを絞ることもできました。
※監査の意味合いだと「Everyone」が良いのかなと思います。
{{:Aws:FSx:pasted:20210820-103008.png? direct 300x0}}
⑦[監査のエントリ]画面に戻るので、以下の設定を実施し[OK]をクリックします。
・種類:すべて
・適用先:このフォルダー、サブフォルダーおよびファイル
・基本のアクセス許可:フルコントロール
{{:Aws:FSx:pasted:20210820-103417.png? direct 0x300}}
⑧[セキュリティの詳細設定]画面に戻るので、赤枠の設定を確認し[OK]をクリックします。
{{:Aws:FSx:pasted:20210820-103616.png? direct 0x300}}
<--
### 動作確認
--> CloudWatchLogs#
いくつかファイルの読み書き/削除などしたところ問題なくCloudWatchLogsに記録されました。
{{:Aws:FSx:pasted:20210820-105259.png? direct 800x0}}
操作ごとのイベントは、下記公式ドキュメントを参照ください。
https://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/file-access-auditing.html#migrate-faa
<--
{{tag>AWS FSx}}