本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用日志转发
您可以使用 Amazon Directory Service 控制台或 API 将域控制器安全事件日志转发到 Amazon CloudWatch Logs。这为目录中的安全事件提供了透明度,从而帮助您满足安全监控、审计和日志保留策略要求。
CloudWatch Logs 还可将这些事件转发至其他 Amazon 账户、Amazon 服务或第三方应用程序。这样一来,您可以更加轻松地集中监控和配置提醒,从而能近乎实时地检测并主动响应异常活动。
启用后,您可以使用 CloudWatch Logs 控制台从启用此服务时指定的日志组中检索数据。此日志组将包含您的域控制器中的安全日志。
有关这些日志组以及如何读取它们的数据的更多信息,请参阅《Amazon CloudWatch Logs 用户指南》中的使用日志组和日志流。
启用日志转发
-
在 Amazon Directory Service 控制台
导航窗格中,选择目录。 -
选择您要共享的 Amazon Managed Microsoft AD 目录的目录 ID。
-
在报告详细信息页面上,执行以下操作之一:
如果多区域复制下显示多个区域,选择想要启用日志转发的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
-
在 Log forwarding (日志转发) 部分中,选择 Enable (启用)。
-
在 Enable log forwarding to CloudWatch (启用到 CloudWatch 的日志转发) 对话框中,选择以下任一选项:
选择创建新的 CloudWatch 日志组,在 CloudWatch 日志组名称下,指定您可在 CloudWatch Logs 中引用的名称。
选择 Choose an existing CloudWatch log group (选择现有 CloudWatch 日志组),然后在 Existing CloudWatch log groups (现有 CloudWatch 日志组) 下,从菜单中选择日志组。
-
查看定价信息和链接,然后选择 Enable (启用)。
禁用日志转发
-
在 Amazon Directory Service 控制台
导航窗格中,选择目录。 -
选择您要共享的 Amazon Managed Microsoft AD 目录的目录 ID。
-
在报告详细信息页面上,执行以下操作之一:
如果多区域复制下显示多个区域,选择想要禁用日志转发的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
-
在 Log forwarding (日志转发) 部分中,选择 Disable (禁用)。
-
阅读 Disable log forwarding (禁用日志转发) 对话框中的信息之后,选择 Disable (禁用)。
使用 CLI 启用日志转发
您必须先创建 Amazon CloudWatch 日志组,然后创建 IAM 资源策略来向此组授予必需权限,然后才能使用 ds create-log-subscription
命令。要使用 CLI 启用日志转发,请完成以下所有步骤。
步骤 1:在 CloudWatch Logs 中创建日志组
创建一个将用于接收来自域控制器的安全日志的日志组。我们建议在名称前添加 /aws/directoryservice/
,但这不是必需的。例如:
示例 CLI 命令
aws logs create-log-group --log-group-name '/aws/directoryservice/d-9876543210'
示例 POWERSHELL 命令
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-9876543210'
有关如何建立 CloudWatch Logs 组的详细说明,请参阅《Amazon CloudWatch Logs 用户指南》中的在 CloudWatch Logs 中创建日志组。
步骤 2:在 IAM 中创建 CloudWatch Logs 资源策略
创建 CloudWatch Logs 资源策略来向 Amazon Directory Service 授予权限以向您在步骤 1 中创建的新日志组添加日志。您可以为日志组指定确切的 ARN 以限制 Amazon Directory Service 对其他日志组的访问权限,或使用通配符以包含所有日志组。以下示例策略使用通配符方法来标识将包含您的目录驻留其中的 Amazon 账户的以 /aws/directoryservice/
开头的所有日志组。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*" } ] }
您需要将此策略保存到您的本地工作站上的文本文件(例如,DSPolicy.json)中,因为您将需要通过 CLI 运行它。例如:
示例 CLI 命令
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document file://DSPolicy.json
示例 POWERSHELL 命令
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
步骤 3:创建 Amazon Directory Service 日志订阅
在此最终步骤中,您现在可以通过创建日志订阅来继续启用日志转发。例如:
示例 CLI 命令
aws ds create-log-subscription --directory-id 'd-9876543210' --log-group-name '/aws/directoryservice/d-9876543210'
示例 POWERSHELL 命令
New-DSLogSubscription -DirectoryId 'd-9876543210' -LogGroupName '/aws/directoryservice/d-9876543210'