终止支持通知：2027 年 3 月 31 日， AWS 将终止对亚马逊 WorkMail的支持。2027 年 3 月 31 日之后，您将无法再访问亚马逊 WorkMail 控制台或亚马逊 WorkMail 资源。有关更多信息，请参阅 [Amazon WorkMail 终止支持](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 监控 Amazon WorkMail 审计日志
<a name="monitoring-audit-logging"></a>

您可以使用审核日志来监控对您的 Amazon WorkMail 组织邮箱的访问情况。亚马逊 WorkMail 记录五种类型的审计事件，这些事件可以发布到 CloudWatch 日志、Amazon S3 或 Amazon Firehouse。您可以使用审计日志来监控用户与组织邮箱的交互、身份验证尝试、访问控制规则评估、对外部系统执行可用性提供商调用，以及使用个人访问令牌监控事件。有关配置审计日志记录的信息，请参阅[启用审计日志记录](audit-logging.md)。

以下各节介绍了 Amazon WorkMail 记录的审计事件、事件的传输时间以及有关事件字段的信息。

## 邮箱访问日志
<a name="mailbox-log"></a>

邮箱访问事件提供有关对哪个邮箱对象采取（或尝试）了什么操作的信息。对于您尝试对邮箱中的项目或文件夹运行的每个操作，都会生成一个邮箱访问事件。这些事件对于审计对邮箱数据的访问非常有用。


| 字段 | 说明 | 
| --- | --- | 
| event\_timestamp | 事件发生的时间，以自 Unix 纪元以来的毫秒数表示。 | 
| request\_id | 唯一标识请求的 ID。 | 
| organization\_arn | 经过身份验证的用户所属的和 Amazon WorkMail 组织的 ARN。 | 
| user\_id | 经过身份验证的用户的 ID。 | 
| impersonator\_id | 模拟者的 ID。仅当为请求使用了模拟功能时才显示。 | 
| protocol | 使用的协议。协议可以是：`AutoDiscover`、`EWS`、`IMAP`、`WindowsOutlook`、`ActiveSync`、`SMTP`、`WebMail`、`IncomingEmail` 或 `OutgoingEmail`。 | 
| source\_ip | 请求的源 IP 地址。 | 
| user\_agent | 发出请求的用户代理。 | 
| action | 对对象执行的操作，可以是：`read`、`read_hierarchy`、`read_summary`、`read_attachment`、`read_permissions`、`create`、`update`、`update_permissions`、`update_read_state`、`delete`、`submit_email_for_sending`、`abort_sending_email`、`move`、`move_to`、`copy` 或 `copy_to`。 | 
| owner\_id | 用户的 ID，该用户拥有正在对其执行操作的对象。 | 
| object\_type | 对象类型，可以是：文件夹、邮件或附件。 | 
| item\_id | 用于唯一标识邮件的 ID，该邮件为事件的主题或包含作为事件主题的附件。 | 
| folder\_path | 正在对其执行操作的文件夹的路径，或包含正在对其执行操作的项目的文件夹的路径。 | 
| folder\_id | 用于唯一标识文件夹的 ID，该文件夹为事件的主题或包含作为事件主题的对象。 | 
| attachment\_path | 受影响附件的显示名称路径。 | 
| action\_allowed | 是否支持执行该操作。可以为 true 或 false。 | 

## 访问控制日志
<a name="access-log"></a>

每当访问控制规则被评估时，就会生成访问控制事件。这些日志对于审计禁止的访问或调试访问控制配置很有用。


| 字段 | 说明 | 
| --- | --- | 
| event\_timestamp | 事件发生的时间，以自 Unix 纪元以来的毫秒数表示。 | 
| request\_id | 唯一标识请求的 ID。 | 
| organization\_arn | 经过身份验证的用户所 WorkMail 属组织的 ARN。 | 
| user\_id | 经过身份验证的用户的 ID。 | 
| impersonator\_id | 模拟者的 ID。仅当为请求使用了模拟功能时才显示。 | 
| protocol | 使用的协议，可以是：`AutoDiscover`、`EWS`、`IMAP`、`WindowsOutlook`、`ActiveSync`、`SMTP`、`WebMail`、`IncomingEmail` 或 `OutgoingEmail`。 | 
| source\_ip | 请求的源 IP 地址。 | 
| 范围 | 规则的范围，可以是：`AccessControl`、`DeviceAccessControl` 或 `ImpersonationAccessControl`。 | 
| rule\_id | 匹配的访问控制规则的 ID。当没有匹配的规则时，*rule\_id* 不可用。 | 
| access\_granted | 是否支持访问。可以为 true 或 false。 | 

## 身份验证日志
<a name="authentication-log"></a>

身份验证事件包含有关身份验证尝试的信息。

**注意**  
不会为通过 Amazon WorkMail WebMail 应用程序的身份验证事件生成身份验证事件。


| 字段 | 说明 | 
| --- | --- | 
| event\_timestamp | 事件发生的时间，以自 Unix 纪元以来的毫秒数表示。 | 
| request\_id | 唯一标识请求的 ID。 | 
| organization\_arn | 经过身份验证的用户所 WorkMail 属组织的 ARN。 | 
| user\_id | 经过身份验证的用户的 ID。 | 
| 用户 | 尝试进行身份验证时使用的用户名。 | 
| protocol | 使用的协议，可以是：`AutoDiscover`、`EWS`、`IMAP`、`WindowsOutlook`、`ActiveSync`、`SMTP`、`WebMail`、`IncomingEmail` 或 `OutgoingEmail`。 | 
| source\_ip | 请求的源 IP 地址。 | 
| user\_agent | 发出请求的用户代理。 | 
| method | 身份验证方法。目前仅支持基本身份验证。 | 
| auth\_successful | 身份验证尝试是否成功。可以为 true 或 false。 | 
| auth\_failed\_reason | 身份验证失败的原因。仅在身份验证失败时才会出现。 | 
| personal\_access\_token\_id | 用于身份验证的个人访问令牌的 ID。 | 

## 个人访问令牌日志
<a name="personal-access-token-log"></a>

对于每次尝试创建或删除个人访问令牌，都会生成个人访问令牌（PAT）事件。个人访问令牌事件提供有关用户是否成功创建个人访问令牌的信息。个人访问令牌日志对于审计最终用户创建和删除其自己的 PAT 非常有用。用户使用个人访问令牌登录将在现有身份验证日志中生成事件。有关更多信息，请参阅[身份验证日志](https://docs.aws.amazon.com/workmail/latest/adminguide/monitoring-audit-logging.html#authentication-log)。


| 字段 | 说明 | 
| --- | --- | 
| event\_timestamp | 事件发生的时间，以自 Unix 纪元以来的毫秒数表示。 | 
| request\_id | 唯一标识请求的 ID。 | 
| organization\_arn | 经过身份验证的用户所 WorkMail 属组织的 ARN。 | 
| user\_id | 经过身份验证的用户的 ID。 | 
| 用户 | 执行该操作的用户的用户名。 | 
| protocol | 执行该操作所使用的协议，可以是：webapp | 
| source\_ip | 请求的源 IP 地址。 | 
| user\_agent | 发出请求的用户代理。 | 
| action | 个人访问令牌的操作，可以是：创建或删除。 | 
| name | 个人访问令牌的名称。 | 
| expires\_time | 个人访问令牌到期的日期。 | 
| 范围 | 针对邮箱的个人访问令牌权限的范围。 | 

## 可用性提供商日志
<a name="availability-log"></a>

 WorkMailAmazon 代表您向配置的可用性提供商发出的每个可用性请求都会生成可用性提供商事件。这些事件对于调试可用性提供商配置很有用。


| 字段 | 说明 | 
| --- | --- | 
| event\_timestamp | 事件发生的时间，以自 Unix 纪元以来的毫秒数表示。 | 
| request\_id | 唯一标识请求的 ID。 | 
| organization\_arn | 经过身份验证的用户所 WorkMail 属组织的 ARN。 | 
| user\_id | 经过身份验证的用户的 ID。 | 
| 类型 | 正在调用的可用性提供商的类型，可以是：`EWS` 或 `LAMBDA`。 | 
| 域 | 可用性信息已获取的域。 | 
| function\_arn | 如果类型为 LAMBDA，则为调用的 Lambda 的 ARN。否则，将不显示该字段。 | 
| ews\_endpoint | EWS 端点的类型为 EWS。否则，将不显示该字段。 | 
| error\_message | 描述失败原因的消息。如果请求成功，则不显示该字段。 | 
| availability\_event\_successful | 是否成功处理了可用性请求。 |