本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Amazon 托管 Microsoft AD 启用亚马逊 CloudWatch 日志转发
您可以使用 Amazon Directory Service 控制台或将域控制器安全事件日志转发 APIs 到 Amazon 托管 Microsoft AD 的 Amazon CloudWatch 日志。这为目录中的安全事件提供了透明度,从而帮助您满足安全监控、审计和日志保留策略要求。
CloudWatch 日志还可以将这些事件转发给其他 Amazon 账户、 Amazon 服务或第三方应用程序。这样一来,您可以更加轻松地集中监控和配置提醒,从而能近乎实时地检测并主动响应异常活动。
启用后,您可以使用 CloudWatch 日志控制台从您在启用该服务时指定的日志组中检索数据。此日志组将包含您的域控制器中的安全日志。
有关日志组以及如何读取其数据的更多信息,请参阅 Amazon Logs 用户指南中的使用日志组和 CloudWatch 日志流。
注意
主题
使用启用 Amazon Web Services Management Console Amazon CloudWatch 日志转发
你可以在中为你的 Amazon 托管 Microsoft AD 启用亚马逊 CloudWatch 日志转发 Amazon Web Services Management Console。
-
在 Amazon Directory Service 控制台
导航窗格中,选择目录。 -
选择要共享的 Amazon 托管 Microsoft AD 目录的目录 ID。
-
在报告详细信息页面上,执行以下操作之一:
-
如果多区域复制下显示多个区域,选择想要启用日志转发的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。
-
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
-
-
在 Log forwarding (日志转发) 部分中,选择 Enable (启用)。
-
在 “启用日志转发至 CloudWatch” 对话框中,选择以下任一选项:
-
选择 “创建新 CloudWatch 日志组”,在 “CloudWatch 日志组名称” 下,指定一个可以在 CloudWatch 日志中引用的名称。
-
选择 “选择现有 CloudWatch 日志组”,然后在 “现有 CloudWatch 日志组” 下,从菜单中选择一个日志组。
-
-
查看定价信息和链接,然后选择 Enable (启用)。
使用 CLI 或启 PowerShell 用 Amazon CloudWatch 日志转发
在使用该ds create-log-subscription命令之前,您必须先创建一个 Amazon CloudWatch 日志组,然后创建一个 IAM 资源策略来向该组授予必要权限。要使用 CLI 或启用日志转发 PowerShell,请完成以下步骤。
步骤 1:在日志中创建 CloudWatch 日志组
创建一个将用于接收来自域控制器的安全日志的日志组。我们建议在名称前添加 /aws/directoryservice/,但这不是必需的。例如:
有关如何创建 CloudWatch 日志组的说明,请参阅 Amazon Logs 用户指南中 CloudWatch 日志中的创建 CloudWatch 日志组。
步骤 2:在 IAM 中创建 CloudWatch 日志资源策略
创建 CloudWatch 日志资源策略,授予将日志添加到您在步骤 1 中创建的新日志组的 Amazon Directory Service 权限。您可以为日志组指定确切的 ARN 以限制对其他日志组 Amazon Directory Service的访问,也可以使用通配符将所有日志组包含在内。以下示例策略使用通配符方法来标识您的目录所在 Amazon 账户的所有/aws/directoryservice/以开头的日志组都将包括在内。
您需要将此策略保存到本地工作站上的文本文件(例如 DSPolicy .json)中,因为您需要从 CLI 运行它。例如:
步骤 3:创建 Amazon Directory Service 日志订阅
在此最终步骤中,您现在可以通过创建日志订阅来继续启用日志转发。例如: