コンソールを使用してログ転送を有効にする CLI または PowerShell を使用してログ転送を有効にする

AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送の有効化

AWS Directory Service コンソールまたはを使用してAPIs、 AWS マネージド Microsoft AD のドメインコントローラーのセキュリティイベントログを Amazon CloudWatch Logs に転送できます。これにより、ディレクトリのセキュリティイベントの透明性が得られ、セキュリティモニタリング、監査、およびログの保持ポリシーの要件を満たすために役立ちます。

CloudWatch ログは、これらのイベントを他の AWS アカウント、 AWS サービス、またはサードパーティーのアプリケーションに転送することもできます。これにより、一元的なアラートのモニタリングと設定、および、ほぼリアルタイムでの異常なアクティビティへの事前の対応が容易になります。

有効にすると、 CloudWatch Logs コンソールを使用して、サービスを有効にしたときに指定したロググループからデータを取得できます。このロググループには、ドメインコントローラーのセキュリティログが含まれます。

ロググループとそのデータの読み取り方法の詳細については、「Amazon Logs ユーザーガイド」の「ロググループとログストリームの操作」を参照してください。 CloudWatch

注記

ログ転送は AWS Managed Microsoft AD のリージョン機能です。マルチリージョンレプリケーションを使用している場合は、以下の手順をリージョンごとに個別に適用する必要があります。詳細については、「グローバル機能とリージョン機能」を参照してください。

有効にすると、ログ転送機能はドメインコントローラーから指定されたロググループへの CloudWatch ログの送信を開始します。ログ転送が有効になる前に作成されたログは、 CloudWatch ロググループに転送されません。

トピック

AWS Management Console を使用して Amazon CloudWatch Logs ログ転送を有効にする
CLI または PowerShell を使用して Amazon CloudWatch Logs ログ転送を有効にする

AWS Management Console を使用して Amazon CloudWatch Logs ログ転送を有効にする

で AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送を有効にできます AWS Management Console。

AWS Directory Service コンソールのナビゲーションペインで、ディレクトリを選択します。
共有する AWS Managed Microsoft AD ディレクトリのディレクトリ ID を選択します。
ディレクトリ詳細ページで、以下のいずれかの操作を行います。
- [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、ログ転送を有効にするリージョンを選択し、[Networking & security] (ネットワークとセキュリティ) タブを選択します。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。
- [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。
[Log forwarding] (ログ転送) セクションで、[Enable] (有効化) を選択します。
ログ転送を有効にする CloudWatchダイアログで、次のいずれかのオプションを選択します。
1. CloudWatch ロググループ名で新しいロググループの作成 CloudWatch を選択し、 CloudWatch ログで参照できる名前を指定します。
2. 既存の CloudWatch ロググループを選択 を選択し、既存の CloudWatch ロググループ でメニューからロググループを選択します。
料金の情報とリンクを確認したら、[Enable] (有効化) をクリックします。

CLI または PowerShell を使用して Amazon CloudWatch Logs ログ転送を有効にする

ds create-log-subscription コマンドを使用する前に、まず Amazon CloudWatch ロググループを作成し、そのグループに必要なアクセス許可を付与するIAMリソースポリシーを作成する必要があります。CLI またはを使用してログ転送を有効にするには PowerShell、次の手順を実行します。

ステップ 1: CloudWatch Logs でロググループを作成する

ドメインコントローラーからセキュリティログを受信するために使用されるロググループを作成します。名前の先頭には /aws/directoryservice/ を付けることをお勧めしますが、必須ではありません。例:

CloudWatch Logs グループを作成する方法については、「Amazon Logs ユーザーガイド」の CloudWatch 「Logs でロググループを作成する」を参照してください。 CloudWatch

ステップ 2: で CloudWatch ログリソースポリシーを作成する IAM

ステップ 1 で作成した新しい CloudWatch ロググループにログを追加する AWS Directory Service 権限を付与する Logs リソースポリシーを作成します。ARN ロググループに正確なを指定して、 AWS Directory Serviceの他のロググループへのアクセスを制限するか、ワイルドカードを使用してすべてのロググループを含めることができます。次のサンプルポリシーでは、ワイルドカードメソッドを使用して、ディレクトリが存在する AWS アカウントの /aws/directoryservice/ で始まるすべてのロググループが含まれていることを確認します。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ds.amazonaws.com"
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*"
        }
    ]
}

このポリシーは、から実行する必要があるため、ローカルワークステーションのテキストファイル (DSPolicy.json など) に保存する必要がありますCLI。例:

ステップ 3: AWS Directory Service ログサブスクリプションを作成する

この最後のステップでは、ログのサブスクリプションを作成して、ログ転送を有効にできます。例:

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ディレクトリログについて

CloudWatch を使用してディレクトリをモニタリングする