啟用日誌轉發 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用日誌轉發

您可以使用 AWS Directory Service 主控台或 API 來轉發域控制器安全事件日誌至 Amazon CloudWatch Logs。這可讓目錄中的安全事件公開透明,協助滿足安全監控、稽核和日誌保留政策需求。

CloudWatch Logs 還可以將這些事件轉寄到其他 AWS 帳戶、AWS 服務或第三方應用程式。您可以更輕鬆地集中監控和設定提醒,以近乎即時的速度主動偵測和回應不尋常的活動。

啟用之後,即可使用 CloudWatch Logs 主控台,從您啟用服務時所指定的日誌群組擷取資料。此日誌群組包含您網域控制器的安全日誌。

如需日誌群組以及如何讀取它們的資料的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》中的使用日誌群組和日誌串流兩節。

注意

日誌轉發是 AWS Managed Microsoft AD 的區域功能。如果您使用 多區域複製,則必須在每個區域中單獨執行以下程序。如需更多詳細資訊,請參閱 全域與區域功能

啟用日誌轉發
  1. AWS Directory Service 主控台導覽窗格中,選擇 Directories (目錄)

  2. 選擇您要共享之 AWS Managed Microsoft AD 目錄的目錄 ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取要啟用日誌轉發的區域,然後選擇聯網和安全索引標籤。如需更多詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Log forwarding (日誌轉發) 部分,選擇 Enable (啟用)

  5. 啟用日誌轉發至 CloudWatch 對話方塊中,選擇下列其中一個選項:

    1. CloudWatch 日誌群組名稱底下,選取建立新的 CloudWatch 日誌群組,指定您可以在 CloudWatch Logs 中參考的名稱。

    2. 選取 Choose an existing CloudWatch log group (選擇現有 CloudWatch 日誌群組)​,並在 Existing CloudWatch log groups (現有 CloudWatch 日誌群組) 中,從功能表選出一個日誌群組。

  6. 檢閱價格資訊和連結,然後選擇 Enable (啟用)

停用日誌轉發
  1. AWS Directory Service 主控台導覽窗格中,選擇 Directories (目錄)

  2. 選擇您要共享之 AWS Managed Microsoft AD 目錄的目錄 ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取要停用日誌轉發的區域,然後選擇聯網和安全索引標籤。如需更多詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  4. Log forwarding (日誌轉發) 部分,選擇 Disable (停用)

  5. 讀取資訊之後,請在 Disable log forwarding (停用日誌轉發) 對話方塊中,選擇 Disable (停用)。​

透過 CLI 來啟用日誌轉發

使用 ds create-log-subscription​ 指令之前,必須先建立 ​Amazon CloudWatch 日誌群組,然後建立 IAM​ 資源政策以授與該群組必要的許可。若要透過 CLI 啟用日誌轉發,請完成下列所有步驟。

步驟 1:在 CloudWatch Logs 中建立日誌群組

建立日誌群組以接收網域控制器的安全日誌。我們建議在名稱前面加上 /aws/directoryservice/,但這並非必要步驟。例如:

CLI 命令範例

aws logs create-log-group --log-group-name '/aws/directoryservice/d-9876543210'

POWERSHELL 命令範例

New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-9876543210'

如需有關如何建立 CloudWatch 日誌群組的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》中的在 CloudWatch Logs 中建立日誌群組

步驟 2:在 IAM 中建立 CloudWatch Logs 資源政策

建立 CloudWatch Logs​ 資源政策授權 AWS Directory Service 將日誌增加至您在步驟 1 所建立的新日誌群組。您可以指定確切的 ARN 至該日誌群組,藉以限制 AWS Directory Service 存取其他日誌群組的權限;或使用萬用字元來納入所有日誌群組。以下範例政策針對目錄所在的 AWS 帳戶,使用萬用字元方法來識別所有開頭為 /aws/directoryservice/ 的日誌群組。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*" } ] }

您必須在本機工作站上將此政策儲存為文字檔格式 (例如 DSPolicy.json),以便之後從 CLI 加以執行。例如:

CLI 命令範例

aws logs put-resource-policy --policy-name DSLogSubscription --policy-document file://DSPolicy.json

POWERSHELL 命令範例

$PolicyDocument = Get-Content .\DSPolicy.json –Raw

Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument

步驟 3:建立 AWS Directory Service 日誌訂閱

在此最終步驟中,您可以藉由建立日誌訂閱,來啟用日誌轉發功能。例如:

CLI 命令範例

aws ds create-log-subscription --directory-id 'd-9876543210' --log-group-name '/aws/directoryservice/d-9876543210'

POWERSHELL 命令範例

New-DSLogSubscription -DirectoryId 'd-9876543210' -LogGroupName '/aws/directoryservice/d-9876543210'