翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送を有効にする
Managed Microsoft AD の Amazon CloudWatch Logs APIsにドメインコントローラーのセキュリティイベントログを転送するには、 AWS Directory Service コンソールまたは AWS を使用できます。これにより、ディレクトリのセキュリティイベントの透明性が得られ、セキュリティモニタリング、監査、およびログの保持ポリシーの要件を満たすために役立ちます。
CloudWatch ログは、これらのイベントを他の AWS アカウント、 AWS サービス、またはサードパーティーアプリケーションに転送することもできます。これにより、一元的なアラートのモニタリングと設定、および、ほぼリアルタイムでの異常なアクティビティへの事前の対応が容易になります。
有効にすると、Logs CloudWatch コンソールを使用して、サービスを有効にしたときに指定したロググループからデータを取得できます。このロググループには、ドメインコントローラーのセキュリティログが含まれます。
ロググループとそのデータの読み取り方法の詳細については、「Amazon Logs ユーザーガイド」の「ロググループとログストリームの操作」を参照してください。 CloudWatch
注記
ログ転送は Managed Microsoft AD AWS のリージョン機能です。マルチリージョンレプリケーション を使用している場合、次の手順を各リージョンで個別に適用する必要があります。詳細については、「グローバル機能とリージョン機能」を参照してください。
有効にすると、ログ転送機能はドメインコントローラーから指定されたロググループへの CloudWatch ログの送信を開始します。ログ転送が有効になる前に作成されたログは、 CloudWatch ロググループに転送されません。
トピック
AWS Management Console を使用して Amazon CloudWatch Logs ログ転送を有効にする
で AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送を有効にできます AWS Management Console。
-
AWS Directory Service コンソール
のナビゲーションペインで、ディレクトリを選択します。 -
共有する AWS Managed Microsoft AD ディレクトリのディレクトリ ID を選択します。
-
[Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
-
[Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、ログ転送を有効にするリージョンを選択し、[Networking & security] (ネットワークとセキュリティ) タブを選択します。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。
-
[Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。
-
-
[Log forwarding] (ログ転送) セクションで、[Enable] (有効化) を選択します。
-
ログ転送の有効化 CloudWatchダイアログで、次のいずれかのオプションを選択します。
-
新しい CloudWatch ロググループの作成 を選択し、CloudWatch ロググループ名 で、 CloudWatch ログで参照できる名前を指定します。
-
「既存の CloudWatch ロググループを選択」を選択し、「既存の CloudWatch ロググループ」で、メニューからロググループを選択します。
-
-
料金の情報とリンクを確認したら、[Enable] (有効化) をクリックします。
CLI または PowerShell を使用して AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送を有効にする
ds create-log-subscription コマンドを使用する前に、まず Amazon CloudWatch ロググループを作成し、そのグループに必要なアクセス許可を付与する IAM リソースポリシーを作成する必要があります。CLI または を使用してログ転送を有効にするには PowerShell、次の手順を実行します。
ステップ 1: Logs で CloudWatch ロググループを作成する
ドメインコントローラーからセキュリティログを受信するために使用されるロググループを作成します。名前の先頭には /aws/directoryservice/ を付けることをお勧めしますが、必須ではありません。例:
CLI コマンドの例
aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'
PowerShell コマンドの例
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'
Logs グループを作成する方法については、「Amazon CloudWatch Logs ユーザーガイド」の CloudWatch 「ログでロググループを作成する」を参照してください。 CloudWatch
ステップ 2: で CloudWatch Logs リソースポリシーを作成する IAM
ステップ 1 で作成した新しい CloudWatch ロググループにログを追加する AWS Directory Service 権限を付与するログリソースポリシーを作成します。ARN ロググループに正確な を指定して、 AWS Directory Serviceの他のロググループへのアクセスを制限するか、ワイルドカードを使用してすべてのロググループを含めることができます。次のサンプルポリシーでは、ワイルドカードメソッドを使用して、ディレクトリが存在する/aws/directoryservice/ AWS アカウントの で始まるすべてのロググループが含まれることを特定します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*" } ] }
から実行する必要があるため、このポリシーをローカルワークステーションのテキストファイル (DSPolicy.json など) に保存する必要がありますCLI。例:
CLI コマンドの例
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document file://DSPolicy.json
PowerShell コマンドの例
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
ステップ 3: AWS Directory Service ログサブスクリプションを作成する
この最後のステップでは、ログのサブスクリプションを作成して、ログ転送を有効にできます。例:
CLI コマンドの例
aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'
PowerShell コマンドの例
New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'
