AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch 로그 로그 전달을 활성화합니다. - AWS Directory Service
콘솔을 사용하여 로그 전달을 활성화합니다.로그 CLI 전달 사용 또는 PowerShell 활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch 로그 로그 전달을 활성화합니다.

AWS Directory Service 콘솔을 사용하거나 AWS 관리형 Microsoft AD의 Amazon Logs에 도메인 컨트롤러 보안 이벤트 CloudWatch 로그를 전달할 수 있습니다. APIs 이는 디렉터리의 보안 이벤트에 대한 투명성을 제공하여 보안 모니터링, 감사 및 로그 보존 정책 요구 사항을 충족하는 데 도움이 됩니다.

CloudWatch 또한 로그는 이러한 이벤트를 다른 AWS 계정, AWS 서비스 또는 타사 애플리케이션으로 전달할 수 있습니다. 따라서 비정상적인 활동을 거의 실시간으로 탐지하고 선제적으로 대응하도록 중앙 집중식으로 알림을 모니터링 및 구성하기가 좀 더 쉽습니다.

활성화되면 CloudWatch 로그 콘솔을 사용하여 서비스를 활성화할 때 지정한 로그 그룹에서 데이터를 검색할 수 있습니다. 이 로그 그룹에는 도메인 컨트롤러의 보안 로그가 포함됩니다.

로그 그룹과 해당 데이터를 읽는 방법에 대한 자세한 내용은 Amazon CloudWatch Logs 사용 설명서의 로그 그룹 및 로그 스트림 사용을 참조하십시오.

참고

로그 전달은 AWS 관리형 Microsoft AD의 지역별 기능입니다. 다중 리전 복제를 사용하는 경우 다음 절차를 각 리전에 별도로 적용해야 합니다. 자세한 내용은 글로벌 기능과 리전별 기능 비교 단원을 참조하십시오.

로그 전달 기능이 활성화되면 도메인 컨트롤러에서 지정된 CloudWatch 로그 그룹으로 로그를 전송하기 시작합니다. 로그 전달이 활성화되기 전에 생성된 로그는 CloudWatch 로그 그룹으로 전송되지 않습니다.

를 AWS Management Console 사용하여 Amazon CloudWatch Logs 로그 전달을 활성화합니다.

에서 AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch Logs 로그 전달을 활성화할 수 있습니다. AWS Management Console

  1. AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택합니다.

  2. 공유하려는 AWS 관리형 Microsoft AD 디렉터리의 디렉터리 ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 로그 전달을 활성화할 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 내용은 기본 리전과 추가 리전의 비교 단원을 참조하십시오.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 로그 전송 섹션에서 활성화를 선택합니다.

  5. 로그 전달 활성화 CloudWatch 대화 상자에서 다음 옵션 중 하나를 선택합니다.

    1. 새 CloudWatch 로그 그룹 만들기를 선택하고 CloudWatch 로그 그룹 이름에서 로그에서 CloudWatch 참조할 수 있는 이름을 지정합니다.

    2. 기존 CloudWatch 로그 그룹 선택을 선택하고 기존 CloudWatch 로그 그룹에서 메뉴에서 로그 그룹을 선택합니다.

  6. 요금 정보와 링크를 검토한 후 활성화를 선택합니다.

CLIOR를 사용하여 AWS 관리형 Microsoft PowerShell AD에 대한 Amazon CloudWatch Logs 로그 전달을 활성화합니다.

ds create-log-subscription명령을 사용하려면 먼저 Amazon CloudWatch 로그 그룹을 생성한 다음 해당 그룹에 필요한 권한을 부여하는 IAM 리소스 정책을 생성해야 합니다. CLI PowerShellOR를 사용하여 로그 전달을 활성화하려면 다음 단계를 완료하십시오.

1단계: Logs에 CloudWatch 로그 그룹 생성

도메인 컨트롤러에서 보안 로그를 수신하는 데 사용할 로그 그룹을 생성합니다. 필수는 아니지만, 이름 앞에 /aws/directoryservice/를 추가하는 것이 좋습니다. 예:

예제 CLI 명령

aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'

예제: PowerShell 명령

New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'

CloudWatch 로그 그룹을 생성하는 방법에 대한 지침은 Amazon Logs 사용 설명서의 CloudWatch Logs에서 CloudWatch 로그 그룹 생성을 참조하십시오.

2단계: CloudWatch 로그 리소스 정책 생성 IAM

1단계에서 만든 새 CloudWatch 로그 그룹에 로그를 추가할 수 있는 AWS Directory Service 권한을 부여하는 로그 리소스 정책을 만드세요. 로그 그룹을 정확히 ARN 지정하여 다른 로그 그룹에 대한 액세스를 AWS Directory Service제한하거나 와일드카드를 사용하여 모든 로그 그룹을 포함할 수 있습니다. 다음 샘플 정책은 와일드카드 방식을 사용하여 디렉터리가 있는 AWS 계정의 로 /aws/directoryservice/ 시작하는 모든 로그 그룹이 포함되도록 식별합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ds.amazonaws.com"
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*"
        }
    ]
}

이 정책은 에서 실행해야 하므로 로컬 워크스테이션의 텍스트 파일 (예: DSPolicy .json) 에 저장해야 합니다. CLI 예:

예제: 명령 CLI

aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
          file://DSPolicy.json

예제: PowerShell 명령

$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument

3단계: AWS Directory Service 로그 구독 생성

이 마지막 단계에서는 로그 구독을 생성하여 로그 전송 활성화를 계속 진행할 수 있습니다. 예:

예제: CLI 명령

aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'

예제: PowerShell 명령

New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'