Ative o encaminhamento CloudWatch de registros do Amazon Logs para o Microsoft AWS AD gerenciado - AWS Directory Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ative o encaminhamento CloudWatch de registros do Amazon Logs para o Microsoft AWS AD gerenciado

Você pode usar o AWS Directory Service console ou encaminhar os registros APIs de eventos de segurança do controlador de domínio para o Amazon CloudWatch Logs do seu Microsoft AD AWS gerenciado. Isso ajuda a cumprir requisitos de políticas de monitoramento de segurança, auditoria e retenção de logs, proporcionando transparência dos eventos de segurança em um diretório.

CloudWatch Os registros também podem encaminhar esses eventos para outras AWS contas, AWS serviços ou aplicativos de terceiros. Assim, fica mais fácil monitorar e configurar alertas de forma centralizada para detectar e responder proativamente a atividades incomuns quase em tempo real.

Depois de ativado, você pode usar o console de CloudWatch registros para recuperar os dados do grupo de registros especificado ao ativar o serviço. Esse grupo de logs contém os logs de segurança de seus controladores de domínio.

Para obter mais informações sobre grupos de registros e como ler seus dados, consulte Trabalho com grupos de registros e fluxos de registros no Guia do usuário do Amazon CloudWatch Logs.

nota

O encaminhamento de registros é um recurso regional do AWS Managed Microsoft AD. Se você estiver usando a Replicação em várias regiões, os procedimentos a seguir deverão ser aplicados separadamente em cada região. Para ter mais informações, consulte Recursos globais versus regionais.

Depois de ativado, o recurso de encaminhamento de registros começará a transmitir os registros de seus controladores de domínio para o grupo de registros especificado CloudWatch . Todos os registros criados antes da ativação do encaminhamento de registros não serão transferidos para o grupo de CloudWatch registros.

Usando o AWS Management Console para habilitar o encaminhamento de CloudWatch registros do Amazon Logs

Você pode ativar o encaminhamento de CloudWatch registros do Amazon Logs para seu Microsoft AD AWS gerenciado no AWS Management Console.

  1. No painel de navegação do console do AWS Directory Service, escolha Diretórios.

  2. Escolha a ID do diretório AWS Managed Microsoft AD que você deseja compartilhar.

  3. Na página Detalhes do diretório, siga um destes procedimentos:

    • Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região em que deseja habilitar o encaminhamento de logs e, em seguida, escolha a guia Rede e segurança. Para ter mais informações, consulte Primário versus adicional Regiões da AWS.

    • Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.

  4. Na seção Log forwarding (Encaminhamento de logs), escolha Enable (Habilitar).

  5. Na caixa de CloudWatch diálogo Habilitar encaminhamento de log para, escolha uma das seguintes opções:

    1. Selecione Criar um novo grupo de CloudWatch registros, em Nome do grupo de CloudWatch registros, especifique um nome ao qual você possa se referir em CloudWatch Registros.

    2. Selecione Escolher um grupo de CloudWatch registros existente e, em Grupos de CloudWatch registros existentes, selecione um grupo de registros no menu.

  6. Revise as informações sobre a definição de preços e o link e escolha Enable (Habilitar).

Usando o CLI ou PowerShell para habilitar o encaminhamento de CloudWatch registros do Amazon Logs para o AWS Managed Microsoft AD

Antes de usar o ds create-log-subscriptioncomando, você deve primeiro criar um grupo de CloudWatch logs da Amazon e, em seguida, criar uma política de IAM recursos que conceda a permissão necessária a esse grupo. Para habilitar o encaminhamento de registros usando o CLI ou PowerShell, conclua as etapas a seguir.

Etapa 1: criar um grupo de CloudWatch registros em Registros

Crie um grupo de logs que será usado para receber os logs de segurança dos controladores de domínio. Recomendamos o acréscimo de prefixos ao nome /aws/directoryservice/, mas isso não é necessário. Por exemplo: .

Exemplo de CLI comando

aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'

Exemplo de PowerShell comando

New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'

Para obter instruções sobre como criar um grupo de CloudWatch registros, consulte Criar um grupo de CloudWatch registros em Logs no Guia do usuário do Amazon CloudWatch Logs.

Etapa 2: criar uma política de recursos de CloudWatch registros no IAM

Crie uma política de recursos de CloudWatch registros concedendo AWS Directory Service direitos para adicionar registros ao novo grupo de registros que você criou na Etapa 1. Você pode especificar o exato ARN do grupo de registros para limitar o acesso a outros grupos AWS Directory Service de registros ou usar um caractere curinga para incluir todos os grupos de registros. O exemplo de política a seguir usa o método curinga para identificar que todos os grupos de registros que começam com /aws/directoryservice/ a AWS conta em que seu diretório reside serão incluídos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*" } ] }

Você precisará salvar essa política em um arquivo de texto (por exemplo, DSPolicy .json) em sua estação de trabalho local, pois precisará executá-la a partir do. CLI Por exemplo: .

Exemplo de CLI comando

aws logs put-resource-policy --policy-name DSLogSubscription --policy-document file://DSPolicy.json

Exemplo de PowerShell comando

$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument

Etapa 3: criar uma assinatura de AWS Directory Service registro

Nesta etapa final, agora você poderá prosseguir para habilitar o encaminhamento de log, criando a assinatura de log. Por exemplo: .

Exemplo de CLI comando

aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'

Exemplo de PowerShell comando

New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'