Uso do console para habilitar o encaminhamento de logs Uso da CLI ou do PowerShell para habilitar o encaminhamento de logs

Como habilitar o encaminhamento de logs do Amazon CloudWatch Logs para o AWS Managed Microsoft AD

Você pode usar o console ou as APIs do AWS Directory Service para encaminhar logs de eventos de segurança do controlador de domínio ao Amazon CloudWatch Logs para seu AWS Managed Microsoft AD. Isso ajuda a cumprir requisitos de políticas de monitoramento de segurança, auditoria e retenção de logs, proporcionando transparência dos eventos de segurança em um diretório.

O CloudWatch Logs também pode encaminhar esses eventos para outras contas da AWS, serviços da AWS ou aplicativos de terceiros. Assim, fica mais fácil monitorar e configurar alertas de forma centralizada para detectar e responder proativamente a atividades incomuns quase em tempo real.

Uma vez habilitado, você pode usar o console do CloudWatch Logs para recuperar os dados do grupo de logs que você especificou quando habilitou o serviço. Esse grupo de logs contém os logs de segurança de seus controladores de domínio.

Para obter mais informações sobre grupos de log e como ler seus dados, consulte Trabalhar com grupos de logs e fluxos de log no Guia do usuário do Amazon CloudWatch Logs.

nota

O encaminhamento de logs é um recurso regional do AWS Managed Microsoft AD. Se você estiver utilizando a replicação em várias regiões, os procedimentos a seguir devem ser aplicados separadamente em cada região. Para ter mais informações, consulte Recursos globais versus regionais.

Depois de habilitado, o recurso de encaminhamento de logs começará a transmitir os logs dos controladores de domínio para o grupo de logs especificado do CloudWatch. Nenhum log criado antes da habilitação do encaminhamento de logs será transferido para o grupo de logs do CloudWatch.

Tópicos

Uso do AWS Management Console para habilitar o encaminhamento de logs do Amazon CloudWatch Logs
Uso da CLI ou do PowerShell para habilitar o encaminhamento de logs do Amazon CloudWatch Logs

Uso do AWS Management Console para habilitar o encaminhamento de logs do Amazon CloudWatch Logs

Você pode habilitar o encaminhamento de logs do Amazon CloudWatch Logs para o AWS Managed Microsoft AD no AWS Management Console.

No painel de navegação do console do AWS Directory Service, escolha Diretórios.
Escolha o ID do diretório do AWS Managed Microsoft AD que deseja compartilhar.
Na página Detalhes do diretório, siga um destes procedimentos:
- Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região em que deseja habilitar o encaminhamento de logs e, em seguida, escolha a guia Rede e segurança. Para ter mais informações, consulte Regiões principais versus adicionais.
- Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.
Na seção Log forwarding (Encaminhamento de logs), escolha Enable (Habilitar).
Na caixa de diálogo Enable log forwarding to CloudWatch (Habilitar o encaminhamento de logs para o CloudWatch), selecione uma das seguintes opções:
1. Selecione Criar um grupo de logs do CloudWatch e, em Nome do grupo de logs, especifique um nome ao qual você pode se referir no CloudWatch Logs.
2. Selecione Choose an existing CloudWatch log group (Selecionar um grupo de logs do CloudWatch existente) e, em Existing CloudWatch log groups (Grupos de logs do CloudWatch existentes), selecione um grupo de logs no menu.
Revise as informações sobre a definição de preços e o link e escolha Enable (Habilitar).

Uso da CLI ou do PowerShell para habilitar o encaminhamento de logs do Amazon CloudWatch Logs

Antes de usar o comando ds create-log-subscription, você deverá primeiro criar um grupo de logs do Amazon CloudWatch e criar uma política de recursos do IAM que concederá a permissão necessária a esse grupo. Para habilitar o encaminhamento de logs usando a CLI ou o PowerShell, conclua as etapas a seguir.

Etapa 1: criar um grupo de logs no CloudWatch Logs

Crie um grupo de logs que será usado para receber os logs de segurança dos controladores de domínio. Recomendamos o acréscimo de prefixos ao nome /aws/directoryservice/, mas isso não é necessário. Por exemplo:

Para obter mais informações sobre como criar um grupo de logs do CloudWatch, consulte Criar um grupo de logs no CloudWatch Logs no Guia do usuário do Amazon CloudWatch Logs.

Etapa 2: criar uma política de recursos do CloudWatch Logs no IAM

Crie uma política de recursos do CloudWatch Logs que conceda ao AWS Directory Service direitos para adicionar logs ao novo grupo de logs que você criou na Etapa 1. Você pode especificar o ARN exato para o grupo de logs para limitar o acesso do AWS Directory Service a outros grupos de logs ou usar um caractere curinga para incluir todos os grupos de logs. A política de exemplo a seguir usa o método curinga para identificar todos os grupos de logs que começam com /aws/directoryservice/ para que a conta da AWS em que seu diretório reside seja incluída.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ds.amazonaws.com"
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*"
        }
    ]
}

Você precisará salvar essa política em um arquivo de texto (por exemplo, DSPolicy.json) na sua estação de trabalho local, porque precisará executá-la na CLI. Por exemplo:

Etapa 3: criar uma assinatura de log do AWS Directory Service

Nesta etapa final, agora você poderá prosseguir para habilitar o encaminhamento de log, criando a assinatura de log. Por exemplo:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Noções básicas sobre os logs do diretório

Uso do CloudWatch para monitorar o diretório