はじめに
今度、FSx For Windows File Serverを構築して、エンドユーザがファイルを操作する際の監視をしたい。
そのために、ファイルサーバを構築して、ファイルの作成・リネーム・削除をした際にログとして記録されることを確認してみます。
環境構成
- EC2(Windows Server2019)×2台
- AWS Managed Microsoft AD
- Amazon FSx For Winodws
※VPC周りは既に構築済み
やってみる
EC2とADを構築
以下のURLを参考に構築しました
https://blog.css-net.co.jp/entry/2024/02/27/105736
諸事情があってディレクトリ名は非公開で
セキュリティグループ作成
FSx作成
ADは先ほど作ったものを指定
今回は監査ログ出力を目的としているので、こちらは全てLogsに出力するよう設定
最終確認
FSxが作成できました(体感40分くらいかかったと思います)
EC2にログインしてADのDNSサーバの設定
ファイルシステムをアタッチ
デフォルトのDNS名を使用して、EC2上のコマンドプロンプトにてZドライブをアタッチします。
ユーザ名とパスワードはAD作成時に設定したものです。
エクスプローラをみると、Zドライブとして認識されました。
本題
OS側で監査ログを設定
FSx側だけではなく、OS側で特定のファイルまたはフォルダに対する監査ログを設定する必要があります。
取得対象となる、特定のファイルまたはフォルダで、エクスプローラを開きプロパティをクリック
「Security」>「Advanced」をクリック
「Auditing」からAddをクリック
「Select a principal」をクリックすると、ドメインのユーザ&パスワードが要求されるので
ADユーザとパスワードを入力する
追加するADユーザを選ぶのですが、今回はAdminしかないのでそれを入力して選択
また、監査対象を選択する箇所でもあるため、基本的にはEveryoneで問題ないと思います。
Principalにユーザが表示されました。
今回はフルコントロールを付与します。
監査ログが格納されている場所を確認
CloudWatch上ではこのような感じ
監査ログを確認してみた
XML形式で出力されるようです。
アクセス形式を特定するには、AccessListの後ろにある文字列(%%4417みたいなもの)
ファイル名も記載されており、ObjectNameで括られている文字列です。
まとめ
XML形式は少し読みづらい気もしますが、何のファイルやフォルダに対してどのような操作を行なったのかを監視することもできそうですね。
文字列を抽出してログ監視もできそうです。
参考
https://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/file-access-auditing.html
https://aws.amazon.com/jp/blogs/news/amazon-fsx-for-windows-file-server-audit-logging/
https://dev.classmethod.jp/articles/fsx-for-windows-file-server-walkthrough/
https://dev.classmethod.jp/articles/amazon-fsx-for-windows-file-server-now-supports-file-access-auditing/
https://support.serverworks.co.jp/hc/ja/articles/32525964741785-FSx-for-Windows-File-Server%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%AD%E3%82%B0%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E6%95%99%E3%81%88%E3%81%A6%E3%81%8F%E3%81%A0%E3%81%95%E3%81%84