サポート終了通知: 2027 年 3 月 31 日、 AWS は Amazon WorkMail のサポートを終了します。2027 年 3 月 31 日以降、Amazon WorkMail コンソールまたは Amazon WorkMail リソースにアクセスできなくなります。詳細については、[Amazon WorkMail のサポート終了](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon WorkMail 監査ログのモニタリング
<a name="monitoring-audit-logging"></a>

監査ログを使用して、Amazon WorkMail 組織のメールボックスへのアクセスをモニタリングできます。Amazon WorkMail は 5 種類の監査イベントをログに記録し、これらのイベントを CloudWatch Logs、Amazon S3、または Amazon Firehouse に発行できます。監査ログを使用して、ユーザーによる組織のメールボックスの操作、認証の試行、アクセスコントロールルールの評価をモニタリングできます。また、外部システムに対するアベイラビリティープロバイダーの呼び出しを実行したり、個人用アクセストークンを使用してイベントをモニタリングしたりすることもできます。監査ログ記録の設定の詳細については、「[監査ログ記録の有効化](audit-logging.md)」を参照してください。

以下のセクションでは、Amazon WorkMail によってログに記録される監査イベント、イベントが送信されるタイミング、およびイベントフィールドに関する情報について説明します。

## メールボックスアクセスのログ
<a name="mailbox-log"></a>

メールボックスアクセスイベントは、どのメールボックスオブジェクトに対してどのようなアクションが実行されたか (または試みられたか) に関する情報を提供します。メールボックスアクセスイベントは、メールボックス内の項目やフォルダに対して実行しようとするオペレーションごとに生成されます。これらのイベントは、メールボックスデータへのアクセスを監査するのに役立ちます。


| フィールド | 説明 | 
| --- | --- | 
| event\_timestamp | イベントがいつ発生したか (Unix エポックからのミリ秒単位)。 | 
| request\_id | リクエストを一意に識別する ID。 | 
| organization\_arn | 認証されたユーザーが属する Amazon WorkMail 組織の ARN。 | 
| user\_id | 認証されたユーザーの ID。 | 
| impersonator\_id | 偽装者の ID。リクエストに偽装機能が使用された場合にのみ表示されます。 | 
| protocol | 使用されたプロトコル。プロトコルは、`AutoDiscover`、`EWS`、`IMAP`、`WindowsOutlook`、`ActiveSync`、`SMTP`、`WebMail`、`IncomingEmail`、`OutgoingEmail` のいずれかです。 | 
| source\_ip | リクエストの送信元 IP アドレス。 | 
| user\_agent | リクエストを行ったユーザーエージェント。 | 
| action | オブジェクトに対して実行されたアクション。`read`、`read_hierarchy`、`read_summary`、`read_attachment`、`read_permissions`、`create`、`update`、`update_permissions`、`update_read_state`、`delete`、`submit_email_for_sending`、`abort_sending_email`、`move`、`move_to`、`copy`、`copy_to` のいずれかです。 | 
| owner\_id | アクションを実行する対象のオブジェクトを所有するユーザーの ID。 | 
| object\_type | オブジェクトのタイプ。フォルダ、メッセージ、添付ファイルのいずれかです。 | 
| item\_id | イベントの件名であるメッセージ、またはイベントの件名である添付ファイルを含むメッセージを一意に識別する ID。 | 
| folder\_path | アクションを実行する対象のフォルダのパス、またはアクションを実行する対象の項目を含むフォルダのパス。 | 
| folder\_id | イベントの件名であるフォルダ、またはイベントの件名であるオブジェクトを含むフォルダを一意に識別する ID。 | 
| attachment\_path | 影響を受ける添付ファイルの表示名のパス。 | 
| action\_allowed | アクションが許可されたかどうか。true または false になります。 | 

## アクセスコントロールのログ
<a name="access-log"></a>

アクセスコントロールイベントは、アクセスコントロールルールが評価されるたびに生成されます。これらのログは、禁止されたアクセスの監査や、アクセスコントロール設定のデバッグに役立ちます。


| フィールド | 説明 | 
| --- | --- | 
| event\_timestamp | イベントがいつ発生したか (Unix エポックからのミリ秒単位)。 | 
| request\_id | リクエストを一意に識別する ID。 | 
| organization\_arn | 認証されたユーザーが属する WorkMail 組織の ARN。 | 
| user\_id | 認証されたユーザーの ID。 | 
| impersonator\_id | 偽装者の ID。リクエストに偽装機能が使用された場合にのみ表示されます。 | 
| protocol | 使用されたプロトコル (`AutoDiscover`、`EWS`、`IMAP`、`WindowsOutlook`、`ActiveSync`、`SMTP`、`WebMail`、`IncomingEmail`、`OutgoingEmail` のいずれか)。 | 
| source\_ip | リクエストの送信元 IP アドレス。 | 
| scope | ルールの範囲。`AccessControl`、`DeviceAccessControl`、`ImpersonationAccessControl` のいずれかです。 | 
| rule\_id | 一致したアクセスコントロールルールの ID。一致するルールがない場合、*rule\_id* は使用できません。 | 
| access\_granted | アクセスが許可されたかどうか。true または false になります。 | 

## 認証のログ
<a name="authentication-log"></a>

認証イベントには、認証の試行に関する情報が含まれます。

**注記**  
認証イベントは、Amazon WorkMail WebMail アプリケーションを介した認証イベントに対しては生成されません。


| フィールド | 説明 | 
| --- | --- | 
| event\_timestamp | イベントがいつ発生したか (Unix エポックからのミリ秒単位)。 | 
| request\_id | リクエストを一意に識別する ID。 | 
| organization\_arn | 認証されたユーザーが属する WorkMail 組織の ARN。 | 
| user\_id | 認証されたユーザーの ID。 | 
| ユーザー | 認証の試行に使用されたユーザー名。 | 
| protocol | 使用されたプロトコル (`AutoDiscover`、`EWS`、`IMAP`、`WindowsOutlook`、`ActiveSync`、`SMTP`、`WebMail`、`IncomingEmail`、`OutgoingEmail` のいずれか)。 | 
| source\_ip | リクエストの送信元 IP アドレス。 | 
| user\_agent | リクエストを行ったユーザーエージェント。 | 
| method | 認証方法。現在サポートされているのは基本認証のみです。 | 
| auth\_successful | 認証の試行が成功したかどうか。true または false になります。 | 
| auth\_failed\_reason | 認証が失敗した理由。認証が失敗した場合にのみ表示されます。 | 
| personal\_access\_token\_id | 認証に使用された個人用アクセストークンの ID。 | 

## 個人用アクセストークンのログ
<a name="personal-access-token-log"></a>

個人用アクセストークン (PAT) イベントは、個人用アクセストークンを作成または削除しようとするたびに生成されます。個人用アクセストークンイベントは、ユーザーが個人用アクセストークンを正常に作成したかどうかに関する情報を提供します。個人用アクセストークンログは、エンドユーザーによる独自の PAT の作成と削除を監査するのに役立ちます。個人用アクセストークンを使用したユーザーログインにより、既存の認証ログにイベントが生成されます。詳細については、「[認証ログ](https://docs.aws.amazon.com/workmail/latest/adminguide/monitoring-audit-logging.html#authentication-log)」を参照してください。


| フィールド | 説明 | 
| --- | --- | 
| event\_timestamp | イベントがいつ発生したか (Unix エポックからのミリ秒単位)。 | 
| request\_id | リクエストを一意に識別する ID。 | 
| organization\_arn | 認証されたユーザーが属する WorkMail 組織の ARN。 | 
| user\_id | 認証されたユーザーの ID。 | 
| ユーザー | このアクションを実行したユーザーのユーザー名。 | 
| protocol | アクションの実行に使用されたプロトコル。webapp になります。 | 
| source\_ip | リクエストの送信元 IP アドレス。 | 
| user\_agent | リクエストを行ったユーザーエージェント。 | 
| action | 個人用アクセストークンのアクション。作成または削除になります。 | 
| 名前 | 個人用アクセストークンの名前。 | 
| expires\_time | 個人用アクセストークンの有効期限が切れる日付。 | 
| スコープ | メールボックスに対する個人用アクセストークンのアクセス許可の範囲。 | 

## アベイラビリティープロバイダーのログ
<a name="availability-log"></a>

アベイラビリティープロバイダーイベントは、Amazon WorkMail が、ユーザーに代わって、設定されたアベイラビリティープロバイダーに対して行うアベイラビリティーリクエストごとに生成されます。これらのイベントは、アベイラビリティープロバイダー設定のデバッグに役立ちます。


| フィールド | 説明 | 
| --- | --- | 
| event\_timestamp | イベントがいつ発生したか (Unix エポックからのミリ秒単位)。 | 
| request\_id | リクエストを一意に識別する ID。 | 
| organization\_arn | 認証されたユーザーが属する WorkMail 組織の ARN。 | 
| user\_id | 認証されたユーザーの ID。 | 
| 型 | 呼び出されたアベイラビリティープロバイダーのタイプ。`EWS` または `LAMBDA` になります。 | 
| ドメイン | アベイラビリティーを取得する対象のドメイン。 | 
| function\_arn | 呼び出された Lambda の ARN (タイプが LAMBDA の場合)。それ以外の場合、このフィールドは表示されません。 | 
| ews\_endpoint | EWS エンドポイントのタイプは EWS です。それ以外の場合、このフィールドは表示されません。 | 
| error\_message | 失敗の原因を説明するメッセージ。リクエストが成功した場合、このフィールドは表示されません。 | 
| availability\_event\_successful | アベイラビリティーリクエストが正常に処理されたかどうか。 |