Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilita l'inoltro CloudWatch dei log di Amazon Logs per Managed Microsoft AD AWS
Puoi utilizzare la AWS Directory Service console o APIs inoltrare i registri degli eventi di sicurezza dei controller di dominio ad Amazon CloudWatch Logs per Managed AWS Microsoft AD. Questo consente di soddisfare i requisiti di monitoraggio di sicurezza, audit e policy di retention di log offrendo trasparenza degli eventi di sicurezza nella directory.
CloudWatch I log possono anche inoltrare questi eventi ad altri AWS account, AWS servizi o applicazioni di terze parti. Ciò semplifica il monitoraggio e la configurazione centralizzata degli avvisi che consentono di rilevare, in modo proattivo, attività insolite e rispondere a esse in tempo reale.
Una volta abilitato, puoi utilizzare la console CloudWatch Logs per recuperare i dati dal gruppo di log specificato quando hai abilitato il servizio. Questo gruppo di log contiene i log di sicurezza dei controller di dominio.
Per ulteriori informazioni sui gruppi di log e su come leggerne i dati, consulta Working with log groups and log stream nella Amazon CloudWatch Logs User Guide.
Nota
L'inoltro dei log è una funzionalità regionale di Managed AWS Microsoft AD. Se utilizzi Replica multi regione, le seguenti procedure devono essere applicate separatamente in ciascuna regione. Per ulteriori informazioni, consulta Funzionalità globali e regionali.
Una volta abilitata, la funzionalità di inoltro dei log inizierà a trasmettere i log dai controller di dominio al gruppo di log specificato. CloudWatch Tutti i log creati prima che l'inoltro dei log sia abilitato non verranno trasferiti al gruppo di log. CloudWatch
Argomenti
Utilizzo di AWS Management Console per abilitare l'inoltro dei log di Amazon CloudWatch Logs
Puoi abilitare l'inoltro CloudWatch dei log di Amazon Logs per il tuo Managed AWS Microsoft AD nel. AWS Management Console
-
Nel riquadro di navigazione AWS Directory Service console
, scegliere Directories (Directory). -
Scegli l'ID della directory AWS Managed Microsoft AD che desideri condividere.
-
Nella pagina Dettaglio report, procedi in uno dei seguenti modi:
-
Se nella sezione Replica multi regione sono visualizzate più Regioni, seleziona quella in cui vuoi abilitare l'inoltro dei log, quindi scegli la scheda Rete e sicurezza. Per ulteriori informazioni, consulta Regioni primarie e regioni aggiuntive.
-
Se non hai alcuna regione visualizzata in replica multiregione, scegli la scheda Rete e sicurezza.
-
-
Nella sezione Log forwarding (Inoltro dei log), scegliere Enable (Abilita).
-
Nella finestra di CloudWatch dialogo Abilita l'inoltro dei log a, scegli una delle seguenti opzioni:
-
Seleziona Crea un nuovo gruppo di CloudWatch log, in Nome gruppo di CloudWatch log, specifica un nome a cui puoi fare riferimento in CloudWatch Logs.
-
Seleziona Scegli un gruppo di CloudWatch log esistente e in Gruppi di CloudWatch log esistenti seleziona un gruppo di log dal menu.
-
-
Esaminare le informazioni sui prezzi e il collegamento e quindi scegliere Enable (Abilita).
Utilizzo di CLI o PowerShell per abilitare l'inoltro CloudWatch dei log di Amazon Logs per Managed Microsoft AD AWS
Prima di poter utilizzare il ds create-log-subscriptioncomando, devi prima creare un gruppo di CloudWatch log Amazon e quindi creare una politica IAM delle risorse che conceda le autorizzazioni necessarie a quel gruppo. Per abilitare l'inoltro dei log utilizzando CLI o PowerShell, completa i seguenti passaggi.
Passaggio 1: creare un gruppo di log in Logs CloudWatch
Creare un gruppo di log che verrà utilizzato per ricevere i log di sicurezza dai controller di dominio. Consigliamo di aggiungere /aws/directoryservice/ prima del nome, ma non è obbligatorio. Per esempio:
Comando di esempio CLI
aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'
PowerShell Comando di esempio
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'
Per istruzioni su come creare un gruppo CloudWatch Logs, consulta Creare un gruppo di log in CloudWatch Logs nella Amazon CloudWatch Logs User Guide.
Passaggio 2: crea una politica delle risorse CloudWatch Logs in IAM
Crea una politica delle risorse CloudWatch Logs che conceda AWS Directory Service i diritti di aggiungere log nel nuovo gruppo di log che hai creato nel passaggio 1. È possibile specificare l'esatta appartenenza ARN al gruppo di log per limitare l'accesso ad altri gruppi AWS Directory Service di log oppure utilizzare una wild card per includere tutti i gruppi di log. La seguente policy di esempio utilizza il metodo wild card per identificare che verranno inclusi tutti i gruppi di log che iniziano con /aws/directoryservice/ l' AWS account in cui risiede la directory.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*" } ] }
È necessario salvare questa policy in un file di testo (ad esempio DSPolicy .json) sulla workstation locale poiché è necessario eseguirla da. CLI Per esempio:
Comando di esempio CLI
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document file://DSPolicy.json
PowerShell Comando di esempio
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
Fase 3: Creare una sottoscrizione AWS Directory Service al registro
In questa fase finale è possibile abilitare l'inoltro di log creando la sottoscrizione di log. Per esempio:
CLIComando di esempio
aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'
PowerShell Comando di esempio
New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'
