로그 전송 활성화 - AWS Directory Service
CLI를 사용하여 로그 전송 활성화

로그 전송 활성화

AWS Directory Service 콘솔이나 API를 이용해 도메인 컨트롤러 보안 이벤트 로그를 Amazon CloudWatch Logs에 전송할 수 있습니다. 이는 디렉터리의 보안 이벤트에 대한 투명성을 제공하여 보안 모니터링, 감사 및 로그 보존 정책 요구 사항을 충족하는 데 도움이 됩니다.

CloudWatch Logs를 사용하면 이러한 이벤트를 다른 AWS 계정, AWS 서비스, 타사 애플리케이션으로 전달할 수 있습니다. 따라서 비정상적인 활동을 거의 실시간으로 탐지하고 선제적으로 대응하도록 중앙 집중식으로 알림을 모니터링 및 구성하기가 좀 더 쉽습니다.

활성화된 후, CloudWatch Logs 콘솔을 사용해 서비스를 활성화할 때 지정한 로그 그룹에서 데이터를 가져올 수 있습니다. 이 로그 그룹에는 도메인 컨트롤러의 보안 로그가 포함됩니다.

이 그룹에 대한 자세한 정보 및 해당 데이터를 읽는 방법은 Amazon CloudWatch Logs 사용 설명서로그 그룹 및 로그 스트림 작업을 참조하세요.

참고

로그 전달은 AWS Managed Microsoft AD의 리전별 기능입니다. 다중 리전 복제를 사용하는 경우 다음 절차를 각 리전에 별도로 적용해야 합니다. 자세한 내용은 글로벌 기능과 리전별 기능 비교 섹션을 참조하세요.

로그 전송을 활성화

  1. AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택합니다.

  2. 공유하려는 AWS Managed Microsoft AD 디렉터리의 디렉터리 ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 로그 전달을 활성화할 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 내용은 기본 리전과 추가 리전의 비교 섹션을 참조하세요.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 로그 전송 섹션에서 활성화를 선택합니다.

  5. CloudWatch로 로그 전송 활성화 대화 상자에서 다음 옵션 중 하나를 선택합니다.

    1. 새 CloudWatch 로그 그룹 생성을 선택하고, CloudWatch 로그 그룹 이름에서 CloudWatch Logs에서 참조할 수 있는 이름을 지정합니다.

    2. Choose an existing CloudWatch log group(기존 CloudWatch 로그 그룹 선택)을 선택하고, 기존 CloudWatch 로그 그룹 아래의 메뉴에서 로그 그룹을 선택합니다.

  6. 요금 정보와 링크를 검토한 후 활성화를 선택합니다.

로그 전송 비활성화

  1. AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택합니다.

  2. 공유하려는 AWS Managed Microsoft AD 디렉터리의 디렉터리 ID를 선택합니다.

  3. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 로그 전달을 비활성화할 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 내용은 기본 리전과 추가 리전의 비교 섹션을 참조하세요.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  4. 로그 전송 섹션에서 비활성화를 선택합니다.

  5. Disable log forwarding(로그 전송 비활성화) 대화창의 정보를 읽은 후 비활성화를 선택합니다.

CLI를 사용하여 로그 전송 활성화

ds create-log-subscription 명령을 사용하기 전에 Amazon CloudWatch 로그 그룹을 생성한 후 해당 그룹에 필요한 권한을 부여하는 IAM 리소스 정책을 생성해야 합니다. CLI를 사용하여 로그 전송을 활성화하려면 아래 단계를 모두 완료하세요.

1단계: CloudWatch Logs의 로그 그룹 생성

도메인 컨트롤러에서 보안 로그를 수신하는 데 사용할 로그 그룹을 생성합니다. 필수는 아니지만, 이름 앞에 /aws/directoryservice/를 추가하는 것이 좋습니다. 예:

CLI 명령 예

aws logs create-log-group --log-group-name '/aws/directoryservice/d-9876543210'

POWERSHELL 명령 예

New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-9876543210'

CloudWatch Logs 그룹을 생성하는 방법에 대한 지침은 Amazon CloudWatch Logs 사용 설명서CloudWatch Logs에서 로그 그룹 생성을 참조하세요.

2단계: IAM에서 CloudWatch Logs 리소스 정책 생성

1단계에서 생성한 새 로그 그룹에 로그를 추가할 AWS Directory Service 권한을 부여하는 CloudWatch Logs 리소스 정책을 생성합니다. 로그 그룹에 정확한 ARN을 지정하여 AWS Directory Service의 액세스를 다른 로그 그룹으로 제한하거나, 와일드카드를 사용하여 모든 로그 그룹을 포함할 수 있습니다. 다음 샘플 정책에서는 와일드카드 메서드를 사용하여 디렉터리가 있는 AWS 계정에 대해 /aws/directoryservice/로 시작하는 모든 로그 그룹을 포함하도록 합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ds.amazonaws.com"
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*"
        }
    ]
}

CLI에서 실행해야 하므로 이 정책을 로컬 워크스테이션에 텍스트 파일(예: DSPolicy.json)로 저장해야 합니다. 예:

CLI 명령 예

aws logs put-resource-policy --policy-name DSLogSubscription --policy-document file://DSPolicy.json

POWERSHELL 명령 예

$PolicyDocument = Get-Content .\DSPolicy.json –Raw

Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument

3단계: AWS Directory Service 로그 구독 생성

이 마지막 단계에서는 로그 구독을 생성하여 로그 전송 활성화를 계속 진행할 수 있습니다. 예:

CLI 명령 예

aws ds create-log-subscription --directory-id 'd-9876543210' --log-group-name '/aws/directoryservice/d-9876543210'

POWERSHELL 명령 예

New-DSLogSubscription -DirectoryId 'd-9876543210' -LogGroupName '/aws/directoryservice/d-9876543210'