启用日志转发 - AWS Directory Service
使用 CLI 启用日志转发
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用日志转发

您可以使用 AWS Directory Service 控制台或 APIs 将域控制器安全事件日志转发到 Amazon CloudWatch Logs。这为目录中的安全事件提供了透明度,从而帮助您满足安全监控、审计和日志保留策略要求。

CloudWatch Logs 还可将这些事件转发至其他 AWS 账户、AWS 服务或第三方应用程序。这样一来,您可以更加轻松地集中监控和配置提醒,从而能近乎实时地检测并主动响应异常活动。

启用后,您可以使用 CloudWatch Logs 控制台从启用此服务时指定的日志组中检索数据。此日志组将包含您的域控制器中的安全日志。

有关日志组以及如何读取其数据的更多信息,请参阅 https://docs.amazonaws.cn/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html 用户指南 中的Amazon CloudWatch Logs使用日志组和日志流

注意

日志转发是 AWS Managed Microsoft AD 的区域性功能。如果您正在使用 多区域复制,则必须在每个区域中单独应用以下过程。有关更多信息,请参阅全球与区域 功能

启用日志转发

  1. AWS Directory Service 控制台导航窗格中,选择 Directories (目录).

  2. 选择您要共享的 AWS Managed Microsoft AD 目录的目录 ID。

  3. Directory details (目录详细信息) 页面上,执行下列操作之一:

    • 如果您有多个区域显示在 Multi-Region replication (多区域复制) 下,请选择要启用日志转发的区域,然后选择 Networking & security (联网和安全性) 选项卡。有关更多信息,请参阅 主要区域与附加区域.

    • 如果您没有 Multi-Region replication (多区域复制) 下显示的任何区域,请选择 Networking & security (联网和安全性) 选项卡。

  4. Log forwarding (日志转发) 部分中,选择 Enable (启用).

  5. Enable log forwarding to CloudWatch (启用到 AWS 的日志转发) 对话框中,选择以下任一选项:

    1. 选择 Create a new CloudWatch log group (创建新的 CloudWatch 日志组),在 Log group name (日志组名称) 下,指定可以在 CloudWatch Logs 中引用的名称。

    2. 选择 Choose an existing CloudWatch log group (选择现有 日志组),然后在 Existing CloudWatch log groups (现有 日志组) 下,从菜单中选择一个日志组。

  6. 查看定价信息和链接,然后选择 Enable (启用).

禁用日志转发

  1. AWS Directory Service 控制台导航窗格中,选择 Directories (目录).

  2. 选择您要共享的 AWS Managed Microsoft AD 目录的目录 ID。

  3. Directory details (目录详细信息) 页面上,执行下列操作之一:

    • 如果您有多个区域显示在 Multi-Region replication (多区域复制) 下,请选择要禁用日志转发的区域,然后选择 Networking & security (联网和安全性) 选项卡。有关更多信息,请参阅 主要区域与附加区域.

    • 如果您没有 Multi-Region replication (多区域复制) 下显示的任何区域,请选择 Networking & security (联网和安全性) 选项卡。

  4. Log forwarding (日志转发) 部分中,选择 Disable (禁用).

  5. 阅读 Disable log forwarding (禁用日志转发) 对话框中的信息之后,选择 Disable (禁用).

使用 CLI 启用日志转发

您必须先创建 ds create-log-subscription 日志组,然后创建 Amazon CloudWatch 资源策略来向此组授予必需权限,然后才能使用 IAM 命令。要使用 CLI 启用日志转发,请完成以下所有步骤。

步骤 1:在 CloudWatch Logs 中创建日志组

创建一个将用于接收来自域控制器的安全日志的日志组。我们建议在名称前添加 /aws/directoryservice/,但这不是必需的。例如:

示例 CLI 命令

aws logs create-log-group --log-group-name '/aws/directoryservice/d-9876543210'

示例 POWERSHELL 命令

New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-9876543210'

有关如何创建 CloudWatch Logs 组的说明,请参阅 用户指南CloudWatch Logs 中的 中创建日志组Amazon CloudWatch Logs。

步骤 2:在 IAM 中创建 CloudWatch Logs 资源策略

创建 CloudWatch Logs 资源策略来向 AWS Directory Service 授予权限以向您在步骤 1 中创建的新日志组添加日志。您可以为日志组指定确切的 ARN 以限制 Directory Service 对其他日志组的访问权限或使用通配符以包含所有日志组。以下示例策略使用通配符方法来标识将包含您的目录驻留其中的 AWS 账户的以 /aws/directoryservice/ 开头的所有日志组。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ds.amazonaws.com"
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*"
        }
    ]
}

您需要将此策略保存到文本文件(例如,本地工作站上的 DSPolicy.json)),因为您将需要从 CLI 运行它。例如:

示例 CLI 命令

aws logs put-resource-policy --policy-name DSLogSubscription --policy-document file://DSPolicy.json

示例 POWERSHELL 命令

$PolicyDocument = Get-Content .\DSPolicy.json –Raw

Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument

步骤 3:创建 AWS Directory Service 日志订阅

在此最终步骤中,您现在可以通过创建日志订阅来继续启用日志转发。例如:

示例 CLI 命令

aws ds create-log-subscription --directory-id 'd-9876543210' --log-group-name '/aws/directoryservice/d-9876543210'

示例 POWERSHELL 命令

New-DSLogSubscription -DirectoryId 'd-9876543210' -LogGroupName '/aws/directoryservice/d-9876543210'