Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen
Aktivierung der Amazon CloudWatch Logs-Protokollweiterleitung für AWS Managed Microsoft AD - AWS Directory Service
Verwenden Sie die Konsole, um die Protokollweiterleitung zu aktivierenVerwenden von CLI oder PowerShell um die Protokollweiterleitung zu aktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivierung der Amazon CloudWatch Logs-Protokollweiterleitung für AWS Managed Microsoft AD

PDFRSS

Sie können entweder die AWS Directory Service Konsole verwenden oder APIs um die Sicherheitsereignisprotokolle des Domain-Controllers an Amazon CloudWatch Logs für Ihr AWS verwaltetes Microsoft AD weiterzuleiten. Dies hilft Ihnen, Ihre Anforderungen an die Richtlinien für die Sicherheitsüberwachung, -prüfung und -aufbewahrung von Protokollen zu erfüllen, indem die Transparenz der Sicherheitsereignisse in Ihrem Verzeichnis gewährleistet wird.

CloudWatch Protokolle können diese Ereignisse auch an andere AWS Konten, AWS Dienste oder Anwendungen von Drittanbietern weiterleiten. Dies erleichtert Ihnen die zentrale Überwachung und Konfiguration von Warnungen, um ungewöhnliche Aktivitäten nahezu in Echtzeit zu erkennen und proaktiv darauf zu reagieren.

Nach der Aktivierung können Sie die CloudWatch Logs-Konsole verwenden, um die Daten aus der Protokollgruppe abzurufen, die Sie bei der Aktivierung des Dienstes angegeben haben. Diese Protokollgruppe enthält die Sicherheitsprotokolle aus Ihren Domain-Controllern.

Weitere Informationen zu Protokollgruppen und zum Lesen ihrer Daten finden Sie unter Arbeiten mit Protokollgruppen und Protokollströmen im Amazon CloudWatch Logs-Benutzerhandbuch.

Anmerkung

Die Protokollweiterleitung ist eine regionale Funktion von AWS Managed Microsoft AD. Wenn Sie die regionsübergreifende Replikation verwenden, müssen die folgenden Verfahren in jeder Region separat angewendet werden. Weitere Informationen finden Sie unter Globale und regionale Features.

Nach der Aktivierung beginnt die Protokollweiterleitungsfunktion mit der Übertragung von Protokollen von Ihren Domänencontrollern an die angegebene CloudWatch Protokollgruppe. Alle Protokolle, die vor der Aktivierung der Protokollweiterleitung erstellt wurden, werden nicht in die CloudWatch Protokollgruppe übertragen.

Verwenden von AWS Management Console , um die Amazon CloudWatch Logs-Protokollweiterleitung zu aktivieren

Sie können die Amazon CloudWatch Logs-Protokollweiterleitung für Ihr AWS Managed Microsoft AD in der aktivieren AWS Management Console.

  1. Wählen Sie im Navigationsbereich der AWS Directory Service -Konsole Directories aus.

  2. Wählen Sie die Verzeichnis-ID des AWS verwalteten Microsoft AD-Verzeichnisses, das Sie teilen möchten.

  3. Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:

    • Wenn unter Multi-Region-Replikation mehrere Regionen angezeigt werden, wählen Sie die Region aus, in der Sie Protokollweiterleitung aktivieren möchten, und wählen Sie dann die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

    • Wenn unter Multi-Region-Replikation keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.

  4. Wählen Sie im Abschnitt Log forwarding die Option Enable.

  5. Wählen Sie im CloudWatch Dialogfeld Protokollweiterleitung aktivieren für eine der folgenden Optionen:

    1. Wählen Sie Neue CloudWatch Protokollgruppe erstellen aus und geben Sie unter Name der CloudWatch Protokollgruppe einen Namen an, auf den Sie unter CloudWatch Protokolle verweisen können.

    2. Wählen Sie Eine bestehende CloudWatch Protokollgruppe auswählen und wählen Sie unter Bestehende CloudWatch Protokollgruppen eine Protokollgruppe aus dem Menü aus.

  6. Prüfen Sie die Preisinformationen und die Verknüpfung und wählen Sie dann Enable aus.

Verwenden der CLI oder PowerShell um die Amazon CloudWatch Logs-Protokollweiterleitung zu aktivieren

Bevor Sie den ds create-log-subscriptionBefehl verwenden können, müssen Sie zunächst eine CloudWatch Amazon-Protokollgruppe und dann eine IAM-Ressourcenrichtlinie erstellen, die dieser Gruppe die erforderlichen Berechtigungen erteilt. Gehen Sie wie folgt vor PowerShell, um die Protokollweiterleitung mit der CLI oder zu aktivieren.

Schritt 1: Erstellen Sie eine Protokollgruppe in CloudWatch Logs

Erstellen Sie eine Protokollgruppe, die Sicherheitsprotokolle von Ihren Domain-Controllern erhält. Wir empfehlen, dem Namen /aws/directoryservice/ voranzustellen, dies ist jedoch nicht erforderlich. Zum Beispiel:

CLI Command
aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'
PowerShell Command
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'
anchoranchor
aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'

Anweisungen zum Erstellen einer CloudWatch Logs-Gruppe finden Sie unter Erstellen einer Protokollgruppe in CloudWatch Logs im Amazon CloudWatch Logs-Benutzerhandbuch.

Schritt 2: Erstellen Sie eine CloudWatch Logs-Ressourcenrichtlinie in IAM

Erstellen Sie eine CloudWatch Protokoll-Ressourcenrichtlinie, die AWS Directory Service Rechte zum Hinzufügen von Protokollen zu der neuen Protokollgruppe gewährt, die Sie in Schritt 1 erstellt haben. Sie können entweder den genauen ARN für die Protokollgruppe angeben, um den Zugriff von AWS Directory Service auf andere Protokollgruppen einzuschränken, oder einen Platzhalter verwenden, um alle Protokollgruppen einzuschließen. Die folgende Beispielrichtlinie verwendet die Platzhaltermethode, um zu ermitteln, dass alle Protokollgruppen, die mit /aws/directoryservice/ dem AWS Konto beginnen, in dem sich Ihr Verzeichnis befindet, eingeschlossen werden. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ds.amazonaws.com"
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*"
        }
    ]
}

Sie müssen diese Richtlinie in einer Textdatei (z. B. DSPolicy .json) auf Ihrer lokalen Workstation speichern, da Sie sie über die CLI ausführen müssen. Zum Beispiel:

CLI Command
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
          file://DSPolicy.json
PowerShell Command
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
anchoranchor
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
          file://DSPolicy.json

Schritt 3: Erstellen Sie ein AWS Directory Service Protokollabonnement

In diesem letzten Schritt können Sie nun die Protokollweiterleitung aktivieren, indem Sie das Protokollabonnement erstellen. Zum Beispiel:

CLI Command
aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'
PowerShell Command
New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'
anchoranchor
aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'

Brauchen Sie Hilfe?

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.