AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送の有効化
AWS Directory Service コンソールまたは API を使用して、ドメインコントローラーセキュリティイベントログを AWS Managed Microsoft AD の Amazon CloudWatch Logs に転送できます。これにより、ディレクトリのセキュリティイベントの透明性が得られ、セキュリティモニタリング、監査、およびログの保持ポリシーの要件を満たすために役立ちます。
また、CloudWatch Logs では、これらのイベントを他の AWS アカウント、AWS サービス、またはサードパーティーのアプリケーションに転送することもできます。これにより、一元的なアラートのモニタリングと設定、および、ほぼリアルタイムでの異常なアクティビティへの事前の対応が容易になります。
有効化されたら、CloudWatch Logs コンソールを使用して、このサービスを有効化したときに指定したロググループからデータを取得できます。このロググループには、ドメインコントローラーのセキュリティログが含まれます。
ロググループとそのデータの読み方の詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループとログストリームの操作」を参照してください。
注記
ログ転送は、AWS Managed Microsoft AD のリージョン機能です。マルチリージョンレプリケーション を使用している場合、次の手順を各リージョンで個別に適用する必要があります。詳細については、「グローバル機能とリージョン機能」を参照してください。
有効にすると、ログ転送機能はドメインコントローラーから指定された CloudWatch ロググループへのログの送信を開始します。ログ転送が有効になる前に作成されたログは、CloudWatch ロググループに転送されません。
トピック
AWS Management Console を使用して Amazon CloudWatch Logs ログ転送を有効にする
AWS Management Console で AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送を有効できます。
-
AWS Directory Service コンソール
のナビゲーションペインで、[Directories] (ディレクトリ) を選択します。 -
共有する AWS Managed Microsoft AD ディレクトリのディレクトリ ID を選択します。
-
[Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
-
[Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、ログ転送を有効にするリージョンを選択し、[Networking & security] (ネットワークとセキュリティ) タブを選択します。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。
-
[Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。
-
-
[Log forwarding] (ログ転送) セクションで、[Enable] (有効化) を選択します。
-
[Enable log forwarding to CloudWatch] (CloudWatch へのログ転送を有効化する) ダイアログで、次のいずれかのオプションを選択します。
-
[Create a new CloudWatch log group] (新しい CloudWatch ロググループを作成) を選択し、[CloudWatch Log group name] (CloudWatch ロググループ名) で CloudWatch Logs で参照できる名前を指定します。
-
[Choose an existing CloudWatch log group] (既存の CloudWatch ロググループを選択) を選択し、[Existing CloudWatch log groups] (既存の CloudWatch ロググループ) でメニューからロググループを選択します。
-
-
料金の情報とリンクを確認したら、[Enable] (有効化) をクリックします。
CLI または PowerShell を使用して Amazon CloudWatch Logs ログ転送を有効にする
ds create-log-subscription
コマンドを使用するには、まず Amazon CloudWatch ロググループを作成し、そのグループに必要なアクセス許可を付与する IAM リソースポリシーを作成する必要があります。CLI または PowerShell を使用してログ転送を有効にするには、次の手順を完了します。
ステップ 1: CloudWatch Logs にロググループを作成する
ドメインコントローラーからセキュリティログを受信するために使用されるロググループを作成します。名前の先頭には /aws/directoryservice/
を付けることをお勧めしますが、必須ではありません。例:
CloudWatch Logs グループの作成方法については、「Amazon CloudWatch Logs ユーザーガイド」の「CloudWatch Logs にロググループを作成します」を参照してください。
ステップ 2: IAM で CloudWatch Logs リソースポリシーを作成する
ステップ 1 で作成した新しいロググループにログを追加する権限を AWS Directory Service に付与する CloudWatch Logs リソースポリシーを作成します。ロググループに ARN をそのまま指定して他のロググループへの AWS Directory Service のアクセスを制限することも、ワイルドカードを使用してすべてのロググループを含めることもできます。次のポリシーのサンプルでは、ワイルドカードを使用する方法で、ディレクトリが存在する AWS アカウントに対して /aws/directoryservice/
で始まるすべてのロググループが含まれるように指定しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:
YOUR_REGION:YOUR_ACCOUNT_NUMBER
:log-group:/aws/directoryservice/*" } ] }
CLI から実行する必要があるため、このポリシーをローカルワークステーションのテキストファイル (例えば、DSPolicy.json) に保存する必要があります。例:
ステップ 3: AWS Directory Service ログのサブスクリプションを作成する
この最後のステップでは、ログのサブスクリプションを作成して、ログ転送を有効にできます。例: