質問・問題
設定方法とどのような情報がログに残るか、またログの検索方法が知りたい
回答・解決方法
どのユーザーが、いつ、どのファイルを、どのような操作を実施したか記録が残るものとなります。
マネジメントコンソール上からの「ファイルアクセス監査を有効」にしていただき、ファイルないしディレクトリに対して監査設定[1]を実施ください。
[2]に設定について詳細の記載がございます為、こちらも合わせてご確認ください。
=====抜粋ここから=====
Windowsエクスプローラーでファイルシステムを開き、右クリックしてPropertiesを選択します。
Security、Advanced、Auditingを選択し、Addを選択して新しい監査エントリを追加します。
監査エントリのページで、Principalの中のSelect a principalをクリックします。これは、監査対象の人になります。Everyoneを選択します。
次に、Typeで、監査の種類(Success/Fail/All)を選択します。Basic permissionsでは、監査対象への権限としてFull controlを選択します。
=====抜粋ここまで=====
また、ログ検索の際のクエリの方法[3]につきましては以下に例としてご案内致します。
=====抜粋ここから=====
特定のイベント ID をクエリするには。
fields @message
| filter @message like /4660/
特定のファイル名と一致するすべてのイベントをクエリするには。
fields @message
| filter @message like /event.txt/
=====抜粋ここまで=====
この度のご案内は以上となりますが
ご不明な点がございましたらご連絡いただきますよう宜しくお願い致します。
【参考記事】
[1]Windows GUI を使用した監査アクセスの設定
https://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/file-access-auditing.html#faa-audit-controls
[2] Amazon FSx for Windows File Serverでファイルアクセス監査が可能になりました | Amazon Web Services ブログ
https://aws.amazon.com/jp/blogs/news/amazon-fsx-for-windows-file-server-audit-logging/
[3] ファイルアクセスの監査 - Amazon FSx for Windows File Server
https://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/file-access-auditing.html