Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Attivazione dell'inoltro CloudWatch dei log di Amazon Logs per Managed Microsoft AD AWS
<a name="ms_ad_enable_log_forwarding"></a>

Puoi utilizzare la Directory Service console o APIs inoltrare i registri degli eventi di sicurezza dei controller di dominio ad Amazon CloudWatch Logs per Managed AWS Microsoft AD. Questo consente di soddisfare i requisiti di monitoraggio di sicurezza, audit e policy di retention di log offrendo trasparenza degli eventi di sicurezza nella directory.

CloudWatch I log possono anche inoltrare questi eventi ad altri AWS account, AWS servizi o applicazioni di terze parti. Ciò semplifica il monitoraggio e la configurazione centralizzata degli avvisi che consentono di rilevare, in modo proattivo, attività insolite e rispondere a esse in tempo reale.

Una volta abilitato, puoi utilizzare la console CloudWatch Logs per recuperare i dati dal gruppo di log specificato quando hai abilitato il servizio. Questo gruppo di log contiene i log di sicurezza dei controller di dominio. 

Per ulteriori informazioni sui gruppi di log e su come leggerne i dati, consulta [Working with log groups and log stream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) nella *Amazon CloudWatch Logs User* Guide. 

**Nota**  
L'inoltro dei log è una funzionalità regionale di Managed AWS Microsoft AD. Se si utilizza la [replica multiregione](ms_ad_configure_multi_region_replication.md), le seguenti procedure devono essere applicate separatamente in ciascuna regione. Per ulteriori informazioni, consulta [Funzionalità globali e regionali](multi-region-global-region-features.md).  
Una volta abilitata, la funzionalità di inoltro dei log inizierà a trasmettere i log dai controller di dominio al gruppo di log specificato. CloudWatch Tutti i log creati prima che l'inoltro dei log sia abilitato non verranno trasferiti al gruppo di log. CloudWatch 

**Topics**
+ [Utilizzo di Console di gestione AWS per abilitare l'inoltro dei log di Amazon CloudWatch Logs](#enable_log_forwarding_with_console)
+ [Utilizzando la CLI o PowerShell per abilitare l'inoltro dei log di Amazon CloudWatch Logs](#enable_log_forwarding_with_cli)

## Utilizzo di Console di gestione AWS per abilitare l'inoltro dei log di Amazon CloudWatch Logs
<a name="enable_log_forwarding_with_console"></a>

Puoi abilitare l'inoltro CloudWatch dei log di Amazon Logs per il tuo Managed AWS Microsoft AD nel. Console di gestione AWS

1. Nel riquadro di navigazione [Directory Service console](https://console.aws.amazon.com/directoryservicev2/), scegliere **Directories (Directory)**.

1. Scegli l'ID della directory AWS Managed Microsoft AD che desideri condividere.

1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
   + Se nella sezione **Replica multi regione** sono visualizzate più Regioni, seleziona quella in cui vuoi abilitare l'inoltro dei log, quindi scegli la scheda **Rete e sicurezza**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
   + Se non hai alcuna regione visualizzata in **replica multiregione**, scegli la scheda **Rete e sicurezza**.

1. Nella sezione **Log forwarding (Inoltro dei log)**, scegliere **Enable (Abilita)**.

1. Nella finestra di CloudWatch dialogo **Abilita l'inoltro dei log a**, scegli una delle seguenti opzioni:

   1. Seleziona **Crea un nuovo gruppo di CloudWatch log**, in **Nome gruppo di CloudWatch log**, specifica un nome a cui puoi fare riferimento in CloudWatch Logs.

   1. Seleziona **Scegli un gruppo di CloudWatch log esistente** e in **Gruppi di CloudWatch log esistenti** seleziona un gruppo di log dal menu.

1. Esaminare le informazioni sui prezzi e il collegamento e quindi scegliere **Enable (Abilita)**.

## Utilizzando la CLI o PowerShell per abilitare l'inoltro dei log di Amazon CloudWatch Logs
<a name="enable_log_forwarding_with_cli"></a>

Prima di poter utilizzare il [https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html](https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html)comando, devi prima creare un gruppo di CloudWatch log Amazon e quindi creare una policy delle risorse IAM che conceda le autorizzazioni necessarie a quel gruppo. Per abilitare l'inoltro dei log utilizzando la CLI oppure PowerShell, completare i seguenti passaggi.

### Passaggio 1: creare un gruppo di log in Logs CloudWatch
<a name="step1_create_log_group"></a>

Creare un gruppo di log che verrà utilizzato per ricevere i log di sicurezza dai controller di dominio. Consigliamo di aggiungere `/aws/directoryservice/` prima del nome, ma non è obbligatorio. Esempio:

------
#### [ CLI Command ]

```
aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'
```

------
#### [ PowerShell Command ]

```
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'
```

------

Per istruzioni su come creare un gruppo CloudWatch Logs, consulta [Creare un gruppo di log in CloudWatch Logs nella *Amazon CloudWatch Logs*](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group) User Guide.

### Fase 2: Creare una politica delle risorse CloudWatch Logs in IAM
<a name="step2_create_resource_policy"></a>

Crea una politica delle risorse CloudWatch Logs che conceda Directory Service i diritti di aggiungere log nel nuovo gruppo di log che hai creato nel passaggio 1. È possibile specificare l'ARN esatto per il gruppo di log per limitare l'accesso ad altri gruppi Directory Service di log o utilizzare una wild card per includere tutti i gruppi di log. La seguente policy di esempio utilizza il metodo wild card per identificare che verranno inclusi tutti i gruppi di log che iniziano con `/aws/directoryservice/` l' AWS account in cui risiede la directory. 

Dovrai salvare questa policy in un file di testo (ad esempio DSPolicy .json) sulla tua workstation locale poiché dovrai eseguirla dalla CLI. Esempio:

------
#### [ CLI Command ]

```
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
          file://DSPolicy.json
```

------
#### [ PowerShell Command ]

```
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
```

```
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
```

------

### Fase 3: Creare un abbonamento di registro Directory Service
<a name="step3_create_log_subscription"></a>

In questa fase finale è possibile abilitare l'inoltro di log creando la sottoscrizione di log. Esempio:

------
#### [ CLI Command ]

```
aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'
```

------
#### [ PowerShell Command ]

```
New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'
```

------