Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Registrazione dell'accesso dell'utente finale con il controllo dell'accesso ai file Amazon FSx for Windows File Server supporta il controllo dell'accesso degli utenti finali a file, cartelle e condivisioni di file. Puoi scegliere di inviare i registri degli eventi di controllo di un file system ad altri AWS servizi che offrono un ricco set di funzionalità. Queste includono l'abilitazione delle interrogazioni, l'elaborazione, l'archiviazione e l'archiviazione dei log, l'emissione di notifiche e l'attivazione di azioni per migliorare ulteriormente gli obiettivi di sicurezza e conformità. Per ulteriori informazioni sull'utilizzo del controllo degli accessi ai file per ottenere informazioni dettagliate sui modelli di accesso e implementare notifiche di sicurezza per l'attività degli utenti finali, vedere Informazioni sui [modelli di accesso allo storage dei file](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/) e [Implementazione delle notifiche di sicurezza](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/) per l'attività degli utenti finali. **Nota** Il controllo dell'accesso ai file è supportato solo sui FSx file system Windows con una capacità di trasmissione pari o superiore a 32 MBps . È possibile modificare la capacità di trasmissione dei file system esistenti. Per ulteriori informazioni, consulta [Gestione della capacità di throughput](managing-throughput-capacity.md). Il controllo dell'accesso ai file consente di registrare gli accessi degli utenti finali a singoli file, cartelle e condivisioni di file in base ai controlli di controllo definiti dall'utente. I controlli di controllo sono noti anche come elenchi di controllo degli accessi al sistema NTFS (). SACLs Se hai già impostato i controlli di audit sui dati dei tuoi file esistenti, puoi sfruttare il controllo degli accessi ai file creando un nuovo file system Amazon FSx for Windows File Server e migrando i tuoi dati. Amazon FSx supporta i seguenti eventi di controllo di Windows per gli accessi a file, cartelle e condivisioni di file: + Per l'accesso ai file, supporta: Tutti, Traverse folder/Execute file, List folder/Leggi dati, Leggi attributi, Crea file/Scrivi dati, Crea cartelle/ Aggiungi dati, Write attributes, Elimina sottocartelle e file, Elimina, Leggi le autorizzazioni, Cambia le autorizzazioni e Diventa proprietario. + Per gli accessi alla condivisione di file, supporta: Connect a una condivisione di file. Per tutti gli accessi a file, cartelle e condivisioni di file, Amazon FSx supporta la registrazione dei tentativi riusciti (ad esempio un utente con autorizzazioni sufficienti che accede con successo a un file o a una condivisione di file), dei tentativi falliti o di entrambi. Puoi configurare se desideri il controllo degli accessi solo su file e cartelle, solo sulle condivisioni di file o su entrambi. È inoltre possibile configurare i tipi di accesso da registrare (solo tentativi riusciti, solo tentativi falliti o entrambi). È inoltre possibile disattivare il controllo dell'accesso ai file in qualsiasi momento. **Nota** Il controllo dell'accesso ai file registra i dati di accesso degli utenti finali solo dal momento in cui è abilitato. In altre parole, il controllo dell'accesso ai file non genera registri degli eventi di controllo delle attività di accesso a file, cartelle e condivisioni di file effettuate dall'utente finale prima dell'attivazione del controllo dell'accesso ai file. La frequenza massima di eventi di controllo degli accessi supportati è di 5.000 eventi al secondo. Gli eventi di controllo degli accessi non vengono generati per ogni operazione di lettura e scrittura dei file, ma una volta per operazione sui metadati dei file, ad esempio quando un utente crea, apre o elimina un file. **Topics** + [Controlla le destinazioni del registro degli eventi](#faa-log-destinations) + [Migrazione dei controlli di audit](#migrate-faa) + [Visualizzazione dei registri degli eventi](#view-faa-logs) + [Impostazione dei controlli di controllo di file e cartelle](faa-audit-controls.md) + [Gestione del controllo degli accessi ai file](manage-faa.md) ## Controlla le destinazioni del registro degli eventi Quando abiliti il controllo degli accessi ai file, devi configurare un AWS servizio a cui Amazon FSx invia i log degli eventi di controllo. Puoi inviare i log degli eventi di controllo a un flusso di log di Amazon CloudWatch Logs in un gruppo di log CloudWatch Logs o a un flusso di distribuzione Amazon Data Firehose. Puoi scegliere la destinazione dei log degli eventi di controllo quando crei il tuo file system Amazon FSx for Windows File Server o in qualsiasi momento dopo aggiornando un file system esistente. Per ulteriori informazioni, consulta [Gestione del controllo degli accessi ai file](manage-faa.md). Di seguito sono riportati alcuni consigli che possono aiutarti a decidere quale destinazione scegliere per i log degli eventi di controllo: + Scegli CloudWatch Logs se desideri archiviare, visualizzare e cercare i log degli eventi di controllo nella CloudWatch console Amazon, eseguire query sui log utilizzando CloudWatch Logs Insights e attivare CloudWatch allarmi o funzioni Lambda. + Scegli Amazon Data Firehose se desideri trasmettere continuamente gli eventi allo storage in Amazon S3, a un database in Amazon Redshift, ad OpenSearch Amazon Service o a soluzioni partner come Splunk o AWS Datadog per ulteriori analisi. Per impostazione predefinita, Amazon FSx creerà e utilizzerà un gruppo di log CloudWatch Logs predefinito nel tuo account come destinazione del registro degli eventi di controllo. Se si desidera utilizzare un gruppo di log CloudWatch Logs personalizzato o utilizzare Firehose come destinazione del registro degli eventi di controllo, ecco i requisiti per i nomi e le posizioni della destinazione del registro degli eventi di controllo: + Il nome del gruppo di CloudWatch log Logs deve iniziare con il prefisso. `/aws/fsx/` Se non disponi di un gruppo di log CloudWatch Logs esistente quando crei o aggiorni un file system sulla console, Amazon FSx può creare e utilizzare un flusso di log predefinito nel gruppo di `/aws/fsx/windows` log CloudWatch Logs. Se non desideri utilizzare il gruppo di log predefinito, l'interfaccia utente di configurazione ti consente di creare un gruppo di log CloudWatch Logs quando crei o aggiorni il file system sulla console. + Il nome del flusso di distribuzione di Firehose deve iniziare con il `aws-fsx-` prefisso. Se non disponi di un flusso di distribuzione Firehose esistente, puoi crearne uno quando crei o aggiorni il file system sulla console. + Il flusso di distribuzione Firehose deve essere configurato per essere utilizzato `Direct PUT` come sorgente. Non è possibile utilizzare un flusso di dati Kinesis esistente come origine dati per il flusso di distribuzione. + La destinazione ( CloudWatch Logs log group o Firehose delivery stream) deve trovarsi nella AWS stessa partizione Regione AWS e nel file Account AWS system Amazon FSx . È possibile modificare la destinazione del registro degli eventi di controllo in qualsiasi momento (ad esempio, da CloudWatch Logs a Firehose). In tal caso, i nuovi registri degli eventi di controllo vengono inviati solo alla nuova destinazione. ### Il massimo impegno è controllare la consegna del registro degli eventi. In genere, i record del registro degli eventi di controllo vengono consegnati a destinazione in pochi minuti, ma a volte possono richiedere più tempo. In occasioni molto rare, i record del registro degli eventi di controllo potrebbero non essere registrati. Se il tuo caso d'uso richiede una semantica particolare (ad esempio, garantendo che nessun evento di controllo venga perso), ti consigliamo di tenere conto degli eventi persi durante la progettazione dei flussi di lavoro. È possibile verificare la presenza di eventi persi eseguendo la scansione della struttura dei file e delle cartelle sul file system. ## Migrazione dei controlli di audit Se hai già impostato audit controls (SACLs) sui tuoi dati di file esistenti, puoi creare un FSx file system Amazon e migrare i dati nel tuo nuovo file system. Ti consigliamo di AWS DataSync utilizzarlo per trasferire i dati e i dati associati SACLs al tuo FSx file system Amazon. Come soluzione alternativa, puoi usare Robocopy (Robust File Copy). Per ulteriori informazioni, consulta [Migrazione dello storage di file esistente su Amazon FSx](migrate-to-fsx.md). ## Visualizzazione dei registri degli eventi Puoi visualizzare i log degli eventi di controllo dopo che Amazon FSx ha iniziato a emetterli. La posizione e il modo in cui vengono visualizzati i log dipendono dalla destinazione del registro degli eventi di controllo: + È possibile visualizzare CloudWatch i log dei log accedendo alla CloudWatch console e scegliendo il gruppo di log e il flusso di log a cui vengono inviati i log degli eventi di controllo. Per ulteriori informazioni, consulta [Visualizza i dati di log inviati a CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) nella *Amazon CloudWatch Logs User* Guide. Puoi utilizzare CloudWatch Logs Insights per cercare e analizzare in modo interattivo i tuoi dati di log. Per ulteriori informazioni, consulta [Analyzing Log Data with CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), nella *Amazon CloudWatch Logs* User Guide. Puoi anche esportare i log degli eventi di controllo in Amazon S3. Per ulteriori informazioni, consulta [Esportazione dei dati di registro su Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) S3, sempre nella * CloudWatch Amazon Logs* User Guide. + Non è possibile visualizzare i registri degli eventi di controllo su Firehose. Tuttavia, è possibile configurare Firehose per inoltrare i log a una destinazione da cui è possibile leggere. Le destinazioni includono Amazon S3, Amazon Redshift, OpenSearch Amazon Service e soluzioni partner come Splunk e Datadog. Per ulteriori informazioni, [consulta Choose destination nella *Amazon* Data Firehose Developer](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html) Guide. ### Controlla i campi degli eventi Questa sezione fornisce descrizioni delle informazioni contenute nei registri degli eventi di controllo ed esempi di eventi di controllo. Di seguito sono riportate le descrizioni dei campi salienti di un evento di controllo di Windows. + **EventID** si riferisce all'ID degli eventi del registro eventi di Windows definito da Microsoft. Consulta la documentazione Microsoft per informazioni sugli eventi [del file system e sugli eventi](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system) di [condivisione dei file](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share). + **SubjectUserName**si riferisce all'utente che effettua l'accesso. + **ObjectName**si riferisce al file, alla cartella o alla condivisione di file di destinazione a cui è stato effettuato l'accesso. + **ShareName**è disponibile per gli eventi generati per l'accesso alla condivisione di file. Ad esempio, `EventID 5140` viene generato quando si accede a un oggetto di condivisione di rete. + **IpAddress**si riferisce al client che ha avviato l'evento per gli eventi di condivisione di file. + **Le parole chiave**, se disponibili, indicano se l'accesso ai file è riuscito o meno. Per gli accessi riusciti, il valore è`0x8020000000000000`. Per gli accessi non riusciti, il valore è. `0x8010000000000000` + **TimeCreated SystemTime**si riferisce all'ora in cui l'evento è stato generato nel sistema e visualizzato nel formato z. DDThh + **Computer** si riferisce al nome DNS del file system Windows Remote Endpoint e può essere utilizzato per identificare il file system. PowerShell + **AccessMask**, se disponibile, si riferisce al tipo di accesso ai file eseguito (ad esempio ReadData, WriteData). + **AccessList**si riferisce all'accesso richiesto o concesso a un oggetto. Per i dettagli, consulta la tabella seguente e la documentazione Microsoft (ad esempio nell'[evento 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656)). | Tipo di accesso | Maschera di accesso | Valore | | --- | --- | --- | | Leggi i dati o la directory degli elenchi | 0x1 | %%4416 | | Scrivi dati o aggiungi file | 0x2 | %%4417 | | Aggiungi dati o aggiungi sottodirectory | 0x4 | %%4418 | | Leggi gli attributi estesi | 0x8 | %%4419 | | Scrivi attributi estesi | 0x10 | %%4420 | | Eseguire/Traversa | 0x20 | %%4421 | | Elimina bambino | 0x40 | %4422 | | Leggi gli attributi | 0x80 | %%4423 | | Attributi di scrittura | 0x100 | %%4424 | | Elimina | 0x10000 | %%1537 | | Leggi ACL | 0x20000 | %%1538 | | Scrivi ACL | 0x40000 | %%1539 | | Scrivi proprietario | 0x80000 | %%1540 | | Sincronizza | 0x100000 | %%1541 | | Access Security ACL | 0x1000000 | %%1542 | Di seguito sono riportati alcuni eventi chiave con esempi. Si noti che il codice XML è formattato per garantire la leggibilità. **L'ID evento 4660** viene registrato quando un oggetto viene eliminato. ``` 466000 128000 0x8020000000000000 315452 Security amznfsxgyzohmw8.example.com S-1-5-21-658495921-4185342820-3824891517-1113 Adminexample 0x50932f71Security 0x12e00x4 {00000000-0000-0000-0000-000000000000} ``` **L'ID evento 4659** viene registrato su una richiesta di eliminazione di un file. ``` 465900128000 0x8020000000000000 308888 Securityamznfsxgyzohmw8.example.com S-1-5-21-658495921-4185342820-3824891517-1113 Adminexample 0x2a9a603fSecurity File\Device\HarddiskVolume8\shar\event.txt 0x0{00000000-0000-0000-0000-000000000000} %%1537 %%4423 0x10080- 0x4 ``` **L'ID evento 4663** viene registrato quando è stata eseguita un'operazione specifica sull'oggetto. L'esempio seguente mostra la lettura di dati da un file, da cui è possibile interpretare. `AccessList %%4416` ``` 4663< /EventID>10128000 0x8020000000000000 308831 Securityamznfsxgyzohmw8.example.com < Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data> Adminexample 0x2a9a603fSecurity File\Device\HarddiskVolume8\share\event.txt 0x101c%%4416 0x10x4 S:AI ``` L'esempio seguente mostra write/append i dati di un file, da cui è possibile interpretare`AccessList %%4417`. ``` 466310128000 0x8020000000000000 308838 Securityamznfsxgyzohmw8.example.com S-1-5-21-658495921-4185342820-3824891517-1113 Adminexample 0x2a9a603fSecurity File\Device\HarddiskVolume8\share\event.txt 0xa38%%4417 0x20x4 S:AI ``` **L'ID evento 4656** indica che è stato richiesto un accesso specifico per un oggetto. Nell'esempio seguente, la richiesta di lettura è stata avviata su ObjectName «permtest» ed è stata un tentativo fallito, come indicato nel valore Keywords di. `0x8010000000000000` ``` 465610128000 0x8010000000000000 308919 Securityamznfsxgyzohmw8.example.com S-1-5-21-658495921-4185342820-3824891517-1113 Adminexample 0x2a9a603fSecurity File\Device\HarddiskVolume8\share\permtest 0x0{00000000-0000-0000-0000-000000000000} %%1541 %%4416 %%4423 %%1541: %%1805 %%4416: %%1805 %%4423: %%1811 D:(A;OICI;0x1301bf;;;AU) 0x100081- 00x4 - ``` **L'ID evento 4670** viene registrato quando vengono modificate le autorizzazioni per un oggetto. L'esempio seguente mostra che l'utente «admin» ha modificato l'autorizzazione su «permtest» per aggiungere autorizzazioni al SID ObjectName «S-1-5-21-658495921-4185342820-3824891517-1113". Consulta la documentazione Microsoft per ulteriori informazioni su come interpretare le autorizzazioni. ``` 467000 1357000x8020000000000000 308992 Security amznfsxgyzohmw8.example.com S-1-5-21-658495921-4185342820-3824891517-1113 Adminexample 0x2a9a603fSecurity File\Device\HarddiskVolume8\share\permtest 0xcc8 D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622) D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;; S-1-5-21-658495921-4185342820-3824891517-2622)0x4 ``` **L'ID evento 5140** viene registrato ogni volta che si accede a una condivisione di file. ``` 514010128080 0x8020000000000000 308947 Securityamznfsxgyzohmw8.example.com S-1-5-21-658495921-4185342820-3824891517-2620 EC2AMAZ-1GP4HMN$example 0x2d4ca529File172.45.6.789 49730\\AMZNFSXCYDKLDZZ\share \??\D:\share0x1%%4416 ``` **L'ID evento 5145** viene registrato quando l'accesso viene negato a livello di condivisione dei file. L'esempio seguente mostra che l'accesso a ShareName «demoshare01" è stato negato. ``` 514500 1281100x8010000000000000 282939 Security amznfsxtmn9autz.example.com S-1-5-21-658495921-4185342820-3824891517- 1113Adminexample 0x95b3fb7File 172.31.7.11259979 \\AMZNFSXDPNTE0DC\demoshare01\??\D:\demoshare01 Desktop.ini0x120089 %%1538 %%1541 %%4416 %%4419 %%4423 %%1538: %%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 ``` Se si utilizza CloudWatch Logs Insights per cercare i dati di registro, è possibile eseguire query sui campi degli eventi, come illustrato dai seguenti esempi: + Per richiedere un ID evento specifico: ``` fields @message | filter @message like /4660/ ``` + Per interrogare tutti gli eventi che corrispondono a un particolare nome di file: ``` fields @message | filter @message like /event.txt/ ``` Per ulteriori informazioni sul linguaggio di query CloudWatch Logs Insights, consulta [Analyzing Log Data with CloudWatch Logs Insights, nella *Amazon CloudWatch Logs*](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) User Guide.