Habilitar o encaminhamento de logs - AWS Directory Service
Usar a CLI para habilitar o encaminhamento de logs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar o encaminhamento de logs

Você pode usar o console ou as APIs do AWS Directory Service para encaminhar logs de eventos de segurança do controlador de domínio para o Amazon CloudWatch Logs. Isso ajuda a cumprir requisitos de políticas de monitoramento de segurança, auditoria e retenção de logs, proporcionando transparência dos eventos de segurança em um diretório.

O CloudWatch Logs também pode encaminhar esses eventos para outras contas da AWS, serviços da AWS ou aplicativos de terceiros. Assim, fica mais fácil monitorar e configurar alertas de forma centralizada para detectar e responder proativamente a atividades incomuns quase em tempo real.

Uma vez habilitado, você pode usar o console do CloudWatch Logs para recuperar os dados do grupo de logs que você especificou quando habilitou o serviço. Esse grupo de logs contém os logs de segurança de seus controladores de domínio.

Para obter mais informações sobre grupos de log e como ler seus dados, consulte Trabalhar com grupos de logs e fluxos de log no Guia do usuário do Amazon CloudWatch Logs.

nota

O encaminhamento de logs é um recurso regional do AWS Managed Microsoft AD. Se você estiver usando a Replicação em várias regiões, os procedimentos a seguir deverão ser aplicados separadamente em cada região. Para obter mais informações, consulte Recursos globais versus regionais.

Para habilitar o encaminhamento de logs

  1. No painel de navegação do console do AWS Directory Service, escolha Diretórios.

  2. Escolha o ID do diretório do AWS Managed Microsoft AD que deseja compartilhar.

  3. Na página Detalhes do diretório, siga um destes procedimentos:

    • Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região em que deseja habilitar o encaminhamento de logs e, em seguida, escolha a guia Rede e segurança. Para obter mais informações, consulte Regiões principais versus adicionais.

    • Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.

  4. Na seção Log forwarding (Encaminhamento de logs), escolha Enable (Habilitar).

  5. Na caixa de diálogo Enable log forwarding to CloudWatch (Habilitar o encaminhamento de logs para o CloudWatch), selecione uma das seguintes opções:

    1. Selecione Criar um grupo de logs do CloudWatch e, em Nome do grupo de logs, especifique um nome ao qual você pode se referir no CloudWatch Logs.

    2. Selecione Choose an existing CloudWatch log group (Selecionar um grupo de logs do CloudWatch existente) e, em Existing CloudWatch log groups (Grupos de logs do CloudWatch existentes), selecione um grupo de logs no menu.

  6. Revise as informações sobre a definição de preços e o link e escolha Enable (Habilitar).

Para desabilitar o encaminhamento de logs

  1. No painel de navegação do console do AWS Directory Service, escolha Diretórios.

  2. Escolha o ID do diretório do AWS Managed Microsoft AD que deseja compartilhar.

  3. Na página Detalhes do diretório, siga um destes procedimentos:

    • Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região em que deseja desabilitar o encaminhamento de logs e, em seguida, escolha a guia Rede e segurança. Para obter mais informações, consulte Regiões principais versus adicionais.

    • Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.

  4. Na seção Log forwarding (Encaminhamento de logs), escolha Disable (Desabilitar).

  5. Depois de ler as informações na caixa de diálogo Disable log forwarding (Desabilitar o encaminhamento de logs), escolha Disable (Desabilitar).

Usar a CLI para habilitar o encaminhamento de logs

Antes de usar o comando ds create-log-subscription, você deverá primeiro criar um grupo de logs do Amazon CloudWatch e criar uma política de recursos do IAM que concederá a permissão necessária a esse grupo. Para habilitar o encaminhamento de logs usando a CLI, conclua todas as etapas abaixo.

Etapa 1: criar um grupo de logs no CloudWatch Logs

Crie um grupo de logs que será usado para receber os logs de segurança dos controladores de domínio. Recomendamos o acréscimo de prefixos ao nome /aws/directoryservice/, mas isso não é necessário. Por exemplo:

EXAMPLE CLI COMMAND (EXEMPLO DE COMANDO DA CLI)

aws logs create-log-group --log-group-name '/aws/directoryservice/d-9876543210'

EXAMPLE POWERSHELL COMMAND (EXEMPLO DE COMANDO DO POWERSHELL)

New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-9876543210'

Para obter mais informações sobre como criar um grupo de logs do CloudWatch, consulte Criar um grupo de logs no CloudWatch Logs no Guia do usuário do Amazon CloudWatch Logs.

Etapa 2: criar uma política de recursos do CloudWatch Logs no IAM

Crie uma política de recursos do CloudWatch Logs que conceda ao AWS Directory Service direitos para adicionar logs ao novo grupo de logs que você criou na Etapa 1. Você pode especificar o ARN exato para o grupo de logs para limitar o acesso do AWS Directory Service a outros grupos de logs ou usar um caractere curinga para incluir todos os grupos de logs. A política de exemplo a seguir usa o método curinga para identificar todos os grupos de logs que começam com /aws/directoryservice/ para que a conta da AWS em que seu diretório reside seja incluída. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ds.amazonaws.com"
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*"
        }
    ]
}

Você precisará salvar essa política em um arquivo de texto (por exemplo, DSPolicy.json) na sua estação de trabalho local, porque precisará executá-la na CLI. Por exemplo:

EXAMPLE CLI COMMAND (EXEMPLO DE COMANDO DA CLI)

aws logs put-resource-policy --policy-name DSLogSubscription --policy-document file://DSPolicy.json

EXAMPLE POWERSHELL COMMAND (EXEMPLO DE COMANDO DO POWERSHELL)

$PolicyDocument = Get-Content .\DSPolicy.json –Raw

Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument

Etapa 3: criar uma assinatura de log do AWS Directory Service

Nesta etapa final, agora você poderá prosseguir para habilitar o encaminhamento de log, criando a assinatura de log. Por exemplo:

EXAMPLE CLI COMMAND (EXEMPLO DE COMANDO DA CLI)

aws ds create-log-subscription --directory-id 'd-9876543210' --log-group-name '/aws/directoryservice/d-9876543210'

EXAMPLE POWERSHELL COMMAND (EXEMPLO DE COMANDO DO POWERSHELL)

New-DSLogSubscription -DirectoryId 'd-9876543210' -LogGroupName '/aws/directoryservice/d-9876543210'