Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Aktifkan penerusan CloudWatch log Amazon Logs untuk AWS Microsoft AD yang Dikelola
Anda dapat menggunakan AWS Directory Service konsol atau APIs meneruskan log peristiwa keamanan pengontrol domain ke CloudWatch Log Amazon untuk iklan Microsoft yang AWS Dikelola. Hal ini membantu Anda untuk memenuhi persyaratan kebijakan pemantauan keamanan, audit, dan penyimpanan log Anda dengan menyediakan transparansi peristiwa keamanan di direktori Anda.
CloudWatch Log juga dapat meneruskan peristiwa ini ke AWS akun, AWS layanan, atau aplikasi pihak ketiga lainnya. Hal ini memudahkan Anda untuk memantau dan mengonfigurasi peringatan secara terpusat untuk mendeteksi dan merespons secara proaktif aktivitas yang tidak biasa hampir secara real time.
Setelah diaktifkan, Anda kemudian dapat menggunakan konsol CloudWatch Log untuk mengambil data dari grup log yang Anda tentukan saat Anda mengaktifkan layanan. Grup log ini berisi log keamanan dari pengendali domain Anda.
Untuk informasi selengkapnya tentang grup log dan cara membaca datanya, lihat Bekerja dengan grup log dan aliran log di Panduan Pengguna Amazon CloudWatch Logs.
catatan
Penerusan log adalah fitur Regional dari AWS Microsoft AD yang Dikelola. Jika Anda menggunakan Replikasi multi-Region, prosedur berikut harus diterapkan secara terpisah di setiap Region. Untuk informasi selengkapnya, lihat Fitur Global vs Regional.
Setelah diaktifkan, kemampuan penerusan log akan mulai mentransmisikan log dari pengontrol domain Anda ke grup log yang ditentukan. CloudWatch Setiap log yang dibuat sebelum penerusan log diaktifkan tidak akan ditransfer ke grup CloudWatch log.
Topik
Menggunakan AWS Management Console untuk mengaktifkan penerusan CloudWatch log Amazon Logs
Anda dapat mengaktifkan penerusan CloudWatch log Log Amazon untuk iklan AWS Microsoft Terkelola di. AWS Management Console
-
Pada panel navigasi konsol AWS Directory Service
, pilih Direktori. -
Pilih ID direktori direktori Microsoft AD AWS Terkelola yang ingin Anda bagikan.
-
Pada halaman Detail direktori, lakukan salah satu hal berikut:
-
Jika Anda memiliki beberapa Region yang ditampilkan di bawah Replikasi Multi-Region, pilih Region tempat Anda ingin mengaktifkan penerusan log, lalu pilih tab Jaringan & keamanan. Untuk informasi selengkapnya, lihat Primer vs tambahan Wilayah AWS.
-
Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah Replikasi Multi-Region, pilih tab Jaringan & keamanan.
-
-
Di bagian Penerusan log, pilih Aktifkan.
-
Pada Aktifkan penerusan log ke CloudWatch dialog, pilih salah satu opsi berikut:
-
Pilih Buat grup CloudWatch log baru, di bawah Nama grup CloudWatch log, tentukan nama yang dapat Anda rujuk di CloudWatch Log.
-
Pilih Pilih grup CloudWatch log yang ada, dan di bawah Grup CloudWatch log yang ada, pilih grup log dari menu.
-
-
Tinjau informasi harga dan tautan, lalu pilih Aktifkan.
Menggunakan CLI atau PowerShell untuk mengaktifkan penerusan CloudWatch log Amazon Logs untuk AWS Microsoft AD yang Dikelola
Sebelum Anda dapat menggunakan ds create-log-subscriptionperintah, Anda harus terlebih dahulu membuat grup CloudWatch log Amazon dan kemudian membuat kebijakan IAM sumber daya yang akan memberikan izin yang diperlukan untuk grup itu. Untuk mengaktifkan penerusan log menggunakan CLI atau PowerShell, selesaikan langkah-langkah berikut.
Langkah 1: Buat grup log di CloudWatch Log
Membuat grup log yang akan digunakan untuk menerima log keamanan dari pengendali domain Anda. Kami merekomendasikan pra-pending nama dengan /aws/directoryservice/, tapi hal tersebut tidak diperlukan. Sebagai contoh:
Contoh CLI Perintah
aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'
Contoh PowerShell Perintah
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'
Untuk petunjuk tentang cara membuat grup CloudWatch Log, lihat Membuat grup CloudWatch log di Log di Panduan Pengguna CloudWatch Log Amazon.
Langkah 2: Buat kebijakan sumber daya CloudWatch Log di IAM
Buat kebijakan sumber daya CloudWatch Log yang memberikan AWS Directory Service hak untuk menambahkan log ke grup log baru yang Anda buat di Langkah 1. Anda dapat menentukan persis ARN ke grup log untuk membatasi AWS Directory Service akses ke grup log lain atau menggunakan kartu liar untuk menyertakan semua grup log. Kebijakan contoh berikut menggunakan metode wild card untuk mengidentifikasi bahwa semua grup log yang dimulai dengan /aws/directoryservice/ untuk AWS akun tempat direktori Anda berada akan disertakan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*" } ] }
Anda harus menyimpan kebijakan ini ke file teks (misalnya DSPolicy .json) di workstation lokal Anda karena Anda harus menjalankannya dari file. CLI Sebagai contoh:
Contoh CLI Perintah
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document file://DSPolicy.json
Contoh PowerShell Perintah
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
Langkah 3: Buat langganan AWS Directory Service log
Dalam langkah terakhir ini, Anda sekarang dapat melanjutkan untuk mengaktifkan penerusan log dengan membuat langganan log. Sebagai contoh:
Contoh CLI Perintah
aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'
Contoh PowerShell Perintah
New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'
