Aktivieren Sie die Amazon CloudWatch Logs-Protokollweiterleitung für AWS Managed Microsoft AD - AWS Directory Service
Verwenden Sie die Konsole, um die Protokollweiterleitung zu aktivierenVerwenden CLI oder PowerShell um die Protokollweiterleitung zu aktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie die Amazon CloudWatch Logs-Protokollweiterleitung für AWS Managed Microsoft AD

Sie können entweder die AWS Directory Service Konsole verwenden oder APIs um die Sicherheitsereignisprotokolle des Domain-Controllers an Amazon CloudWatch Logs für Ihr AWS verwaltetes Microsoft AD weiterzuleiten. Dies hilft Ihnen, Ihre Anforderungen an die Richtlinien für die Sicherheitsüberwachung, -prüfung und -aufbewahrung von Protokollen zu erfüllen, indem die Transparenz der Sicherheitsereignisse in Ihrem Verzeichnis gewährleistet wird.

CloudWatch Protokolle können diese Ereignisse auch an andere AWS Konten, AWS Dienste oder Anwendungen von Drittanbietern weiterleiten. Dies erleichtert Ihnen die zentrale Überwachung und Konfiguration von Warnungen, um ungewöhnliche Aktivitäten nahezu in Echtzeit zu erkennen und proaktiv darauf zu reagieren.

Nach der Aktivierung können Sie die CloudWatch Logs-Konsole verwenden, um die Daten aus der Protokollgruppe abzurufen, die Sie bei der Aktivierung des Dienstes angegeben haben. Diese Protokollgruppe enthält die Sicherheitsprotokolle aus Ihren Domain-Controllern.

Weitere Informationen zu Protokollgruppen und zum Lesen ihrer Daten finden Sie unter Arbeiten mit Protokollgruppen und Protokollströmen im Amazon CloudWatch Logs-Benutzerhandbuch.

Anmerkung

Die Protokollweiterleitung ist eine regionale Funktion von AWS Managed Microsoft AD. Wenn Sie Multi-Region-Replikation verwenden, müssen die folgenden Verfahren in jeder Region separat angewendet werden. Weitere Informationen finden Sie unter Globale und regionale Features.

Nach der Aktivierung beginnt die Protokollweiterleitungsfunktion mit der Übertragung von Protokollen von Ihren Domänencontrollern an die angegebene CloudWatch Protokollgruppe. Alle Protokolle, die vor der Aktivierung der Protokollweiterleitung erstellt wurden, werden nicht in die CloudWatch Protokollgruppe übertragen.

Verwenden von AWS Management Console , um die Amazon CloudWatch Logs-Protokollweiterleitung zu aktivieren

Sie können die Amazon CloudWatch Logs-Protokollweiterleitung für Ihr AWS Managed Microsoft AD in der aktivieren AWS Management Console.

  1. Wählen Sie im Navigationsbereich der AWS Directory Service -Konsole Directories aus.

  2. Wählen Sie die Verzeichnis-ID des AWS verwalteten Microsoft AD-Verzeichnisses, das Sie teilen möchten.

  3. Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:

    • Wenn unter Multi-Region-Replikation mehrere Regionen angezeigt werden, wählen Sie die Region aus, in der Sie Protokollweiterleitung aktivieren möchten, und wählen Sie dann die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

    • Wenn unter Multi-Region-Replikation keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.

  4. Wählen Sie im Abschnitt Log forwarding die Option Enable.

  5. Wählen Sie im CloudWatch Dialogfeld Protokollweiterleitung aktivieren für eine der folgenden Optionen:

    1. Wählen Sie Neue CloudWatch Protokollgruppe erstellen aus und geben Sie unter Name der CloudWatch Protokollgruppe einen Namen an, auf den Sie unter CloudWatch Protokolle verweisen können.

    2. Wählen Sie Eine bestehende CloudWatch Protokollgruppe auswählen und wählen Sie unter Bestehende CloudWatch Protokollgruppen eine Protokollgruppe aus dem Menü aus.

  6. Prüfen Sie die Preisinformationen und die Verknüpfung und wählen Sie dann Enable aus.

Verwenden von CLI oder PowerShell , um die Amazon CloudWatch Logs-Protokollweiterleitung für AWS Managed Microsoft AD zu aktivieren

Bevor Sie den ds create-log-subscriptionBefehl verwenden können, müssen Sie zunächst eine CloudWatch Amazon-Protokollgruppe und dann eine IAM Ressourcenrichtlinie erstellen, die dieser Gruppe die erforderlichen Berechtigungen erteilt. Gehen Sie wie folgt vor PowerShell, um die Protokollweiterleitung mithilfe von CLI oder zu aktivieren.

Schritt 1: Erstellen Sie eine Protokollgruppe in CloudWatch Logs

Erstellen Sie eine Protokollgruppe, die Sicherheitsprotokolle von Ihren Domain-Controllern erhält. Wir empfehlen, dem Namen /aws/directoryservice/ voranzustellen, dies ist jedoch nicht erforderlich. Beispielsweise:

Beispiel für einen CLI Befehl

aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'

Beispiel für einen PowerShell Befehl

New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'

Anweisungen zum Erstellen einer CloudWatch Logs-Gruppe finden Sie unter Erstellen einer Protokollgruppe in CloudWatch Logs im Amazon CloudWatch Logs-Benutzerhandbuch.

Schritt 2: Erstellen Sie eine CloudWatch Logs-Ressourcenrichtlinie in IAM

Erstellen Sie eine CloudWatch Protokoll-Ressourcenrichtlinie, die AWS Directory Service Rechte zum Hinzufügen von Protokollen zu der neuen Protokollgruppe gewährt, die Sie in Schritt 1 erstellt haben. Sie können entweder den genauen ARN Wert für die Protokollgruppe angeben, um den Zugriff auf andere Protokollgruppen zu beschränken AWS Directory Service, oder einen Platzhalter verwenden, um alle Protokollgruppen einzubeziehen. Die folgende Beispielrichtlinie verwendet die Platzhaltermethode, um zu ermitteln, dass alle Protokollgruppen, die mit /aws/directoryservice/ dem AWS Konto beginnen, in dem sich Ihr Verzeichnis befindet, eingeschlossen werden. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ds.amazonaws.com"
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*"
        }
    ]
}

Sie müssen diese Richtlinie in einer Textdatei (z. B. DSPolicy .json) auf Ihrer lokalen Workstation speichern, da Sie sie von der aus ausführen müssen. CLI Beispielsweise:

Beispiel für CLI einen Befehl

aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
          file://DSPolicy.json

Beispiel für einen PowerShell Befehl

$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument

Schritt 3: Erstellen Sie ein AWS Directory Service Protokollabonnement

In diesem letzten Schritt können Sie nun die Protokollweiterleitung aktivieren, indem Sie das Protokollabonnement erstellen. Beispielsweise:

Beispiel für einen CLI Befehl

aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'

Beispiel für einen PowerShell Befehl

New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'