기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS 관리형 Microsoft AD 모니터링
<a name="ms_ad_monitor"></a>

다양한 AWS 관리형 Microsoft AD 상태와 AWS 관리형 Microsoft AD의 의미에 대해 자세히 알아보고 AWS 관리형 Microsoft AD를 최대한 활용할 수 있습니다. Amazon Simple Notification Service 및 Amazon CloudWatch와 같은 AWS 서비스를 사용하여 AWS 관리형 Microsoft AD를 모니터링할 수도 있습니다. Amazon Simple Notification Service는 AWS 관리형 Microsoft AD 디렉터리 상태에 대한 알림을 보낼 수 있습니다. Amazon CloudWatch는 AWS 관리형 Microsoft AD 도메인 컨트롤러의 성능을 모니터링할 수 있습니다.

**Topics**
+ [AWS Managed Microsoft AD 디렉터리 상태 이해](ms_ad_directory_status.md)
+ [Amazon Simple Notification Service를 사용하여 AWS 관리형 Microsoft AD 디렉터리 상태 알림 활성화](ms_ad_enable_notifications.md)
+ [AWS 관리형 Microsoft AD 디렉터리 로그 이해](ms_ad_directory_logs.md)
+ [AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch Logs 로그 전달 활성화](ms_ad_enable_log_forwarding.md)
+ [CloudWatch를 사용하여 AWS 관리형 Microsoft AD 도메인 컨트롤러의 성능 모니터링](ms_ad_monitor_dc_performance.md)
+ [AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch 로그 전달 비활성화](ms_ad_disable_log_forwarding_with_console.md)
+ [Microsoft 이벤트 뷰어로 DNS 서버 모니터링](ms_ad_dns_event_viewer.md)

# AWS Managed Microsoft AD 디렉터리 상태 이해
<a name="ms_ad_directory_status"></a>

다음은 디렉터리에 대한 다양한 상태입니다.

**활성**  
디렉터리가 정상적으로 작동하고 있습니다. 디렉터리에서 Directory Service 가 어떤 문제도 탐지하지 않았습니다.

**생성 중**  
디렉터리가 현재 생성되는 중입니다. 디렉터리 생성에는 보통 20\$145분이 소요되지만, 시스템 로드에 따라 달라질 수 있습니다.

**Deleted**  
디렉터리가 삭제되었습니다. 디렉터리를 위한 모든 리소스들이 해제되었습니다. 디렉터리가 이 상태에 들어오면 복구가 불가능합니다.

**삭제 중**  
디렉터리가 현재 삭제되는 중입니다. 디렉터리는 완전히 삭제될 때까지 이 상태를 유지하게 됩니다. 디렉터리가 이 상태에 들어가면 삭제 작업을 취소할 수 없고 디렉터리를 복구할 수 없습니다.

**실패**  
디렉터리 생성이 불가능했습니다. 이 디렉터리를 삭제하세요. 이 문제가 계속되면 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의하세요.

[**Impaired**]  
디렉터리가 성능 저하 상태에서 실행 중입니다. 1개 이상의 문제가 탐지되었고, 모든 디렉터리 작업이 전체 운영 용량에서 실행되지 못할 수 있습니다. 디렉터리가 이 상태가 되는 가능한 이유는 여러 가지입니다. 여기에는 패치 적용 또는 EC2 인스턴스 교체와 같은 정상적인 운영 유지 관리 활동, 도메인 컨트롤러 중 하나에서 애플리케이션에 의한 일시적 핫스팟 발생 또는 사용자가 네트워크를 변경하는 과정에서 잘못 발생한 디렉터리 통신 중단이 포함됩니다. 자세한 내용은 [AWS 관리형 Microsoft AD 문제 해결](ms_ad_troubleshooting.md), [문제 해결 AD Connector](ad_connector_troubleshooting.md) 또는 [Simple AD 문제 해결](simple_ad_troubleshooting.md) 단원을 참조하세요. 일반적인 유지 관리 관련 문제의 경우는 40분 이내에 이러한 문제를 AWS 해결합니다. 문제 해결 주제를 검토한 후 디렉터리가 40분 이상 Impaired 상태를 지속할 경우 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의하는 것이 좋습니다.  
디렉터리가 Impaired 상태일 동안에는 스냅샷을 복원하지 마세요. 장애를 해결하기 위해 스냅샷 복원이 필요한 경우는 드뭅니다. 자세한 내용은 [스냅샷을 사용하여 AWS 관리형 Microsoft AD 복원](ms_ad_snapshots.md) 단원을 참조하십시오.

[**Requested**]  
디렉터리를 생성하라는 요청이 현재 보류 중입니다.

**RestoreFailed**  
스냅샷에서 디렉터리 복원이 실패했습니다. 복원 작업을 다시 시도하세요. 이 문제가 계속되면 다른 스냅샷을 시도하거나 [AWS Support Center](https://console.aws.amazon.com/support/home#/)에 문의하세요.

**복원 중**  
자동 또는 수동 스냅샷에서 디렉터리가 현재 복원 중입니다. 스냅샷의 디렉터리 데이터 크기에 따라 스냅샷에서 디렉터리를 복원하는 데 보통 몇 분이 소요됩니다.

# Amazon Simple Notification Service를 사용하여 AWS 관리형 Microsoft AD 디렉터리 상태 알림 활성화
<a name="ms_ad_enable_notifications"></a>

Amazon Simple Notification Service(Amazon SNS)를 사용하면 디렉터리 상태가 바뀔 때 이메일 또는 텍스트(SMS) 메시지를 수신할 수 있습니다. 디렉터리 상태가 활성 상태에서 [손상됨](ms_ad_directory_status.md)으로 바뀌면 알림을 받게 됩니다. 디렉터리가 Active 상태로 돌아갈 때도 알림을 받게 됩니다.

## 작동 방식
<a name="ds_sns_overview"></a>

Amazon SNS는 ‘주제’를 사용해 메시지를 수집 및 배포합니다. 각 주제마다 1명 이상의 구독자가 해당 주제에 게시된 메시지를 수신합니다. 아래 단계를 사용하여 Amazon SNS 주제에 Directory Service 게시자로를 추가할 수 있습니다. 가 디렉터리 상태의 변경을 Directory Service 감지하면 해당 주제에 메시지를 게시한 다음 주제의 구독자에게 전송됩니다.

여러 디렉터리를 게시자로서 단일 주제에 연결할 수 있습니다. 또한 Amazon SNS에서 이전에 생성했던 주제에 디렉터리 상태 메시지를 추가할 수 있습니다. 주제를 게시하거나 구독할 수 있는 사람을 세부적으로 제어할 수 있습니다. Amazon SNS에 대한 전체 내용은 [Amazon SNS란 무엇인가요?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) 단원을 참조하세요.

**참고**  
디렉터리 상태 알림은 AWS Managed Microsoft AD의 리전별 기능입니다. [다중 리전 복제](ms_ad_configure_multi_region_replication.md)를 사용하는 경우 다음 절차를 각 리전에 별도로 적용해야 합니다. 자세한 내용은 [글로벌 기능과 리전별 기능 비교](multi-region-global-region-features.md) 단원을 참조하십시오.

## Amazon SNS 활성화
<a name="ds_sns_enabling_procedure"></a>

다음은 AWS 관리형 Microsoft AD에 대해 Amazon SNS를 활성화하는 방법을 안내합니다.

1. 에 로그인 AWS Management Console 하고 [Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/)을 엽니다.

1.  [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제**에 여러 리전이 표시되는 경우 SNS 메시징을 활성화할 리전을 선택한 다음 **유지 관리** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 리전이 표시되지 않는 경우 **유지 관리** 탭을 선택합니다.

1. **디렉터리 모니터링** 섹션에서 **작업**을 선택한 후 **알림 생성**을 선택합니다.

1. **알림 생성** 페이지에서 **Choose a notification type(알림 유형 선택)**을 선택한 후 **새 알림 생성**을 선택합니다. 또는, 기존 SNS 주제를 이미 가지고 있는 경우 **기존 SNS 주제 연결**을 선택하여 이 디렉터리에서 해당 주제로 상태 메시지를 전송할 수 있습니다.
**참고**  
**새 알림 생성**을 선택하지만, 이미 존재하는 SNS 주제에 대해 동일한 주제 이름을 사용하는 경우에는 Amazon SNS가 새 주제를 생성하지 않고 기존 주제에 새 구독 정보를 추가만 합니다.  
**기존 SNS 주제 연결**을 선택하는 경우 디렉터리와 동일한 리전에 있는 SNS 주제만 선택할 수 있습니다.

1. **수신자 유형**을 선택하고 **수신자** 연락처 정보를 입력합니다. SMS에 사용할 전화 번호를 입력할 때는 숫자만 사용합니다. 대시, 공백, 괄호를 사용하지 마세요.

1. (선택 사항) 주제 이름과 SNS 표시 이름을 제공합니다. 표시 이름은 이 주제에서 모든 SMS 메시지에 포함시킬 짧은 이름(최대 10자)입니다. SMS 옵션을 사용할 때 표시 이름이 필요합니다.
**참고**  
[DirectoryServiceFullAccess](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/role_ds_full_access.html) 관리형 정책만 가진 IAM 사용자나 역할을 이용해 로그인하는 경우 주제 이름이 ‘DirectoryMonitoring’으로 시작해야 합니다. 사용자가 주제 이름을 추가로 사용자 정의하고 싶다면 SNS에 대한 추가 권한이 있어야 합니다.

1. **생성(Create)**을 선택합니다.

추가 이메일 주소, Amazon SQS 대기열 또는 같은 추가 SNS 구독자를 지정하려는 경우 [Amazon SNS 콘솔](https://console.aws.amazon.com//sns/v3/home.)에서이 작업을 수행할 AWS Lambda수 있습니다.

## Amazon SNS 주제에서 디렉터리 상태 메시지 제거
<a name="ds_sns_removing_procedure"></a>

다음은 Amazon SNS 주제에서 AWS 관리형 Microsoft AD 디렉터리 상태 메시지를 제거하는 방법을 안내합니다.

1. 에 로그인 AWS Management Console 하고 [Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/)을 엽니다.

1.  [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제**에 여러 리전이 표시되는 경우 상태 메시지를 제거할 리전을 선택한 다음 **유지 관리** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 리전이 표시되지 않는 경우 **유지 관리** 탭을 선택합니다.

1. **디렉터리 모니터링** 섹션의 목록에서 SNS 주제 이름을 선택하고 **작업**을 선택한 후 **제거**를 선택합니다.

1. **** 제거를 선택합니다.

이렇게 하면 선택한 SNS 주제에 대한 게시자 역할을 하는 디렉터리가 삭제됩니다.

## Amazon SNS 주제 삭제
<a name="ds_sns_delete_topic"></a>

전체 주제를 삭제하려면 [Amazon SNS 콘솔](https://console.aws.amazon.com//sns/v3/home.)에서 이를 수행할 수 있습니다.

디렉터리가 해당 주제에 상태 메시지를 전송하고 있지 않아야만 SNS 콘솔을 이용해 Amazon SNS 주제를 삭제할 수 있습니다.

SNS 콘솔을 사용해 Amazon SNS 주제를 삭제하면 이러한 변경이 Directory Services 콘솔 내에 즉각 반영되지 않습니다. 디렉터리의 **모니터링** 탭에서 주제를 찾을 수 없음을 나타내는 상태 업데이트를 확인한 경우에는 다음 번에 디렉터리가 삭제된 주제에 알림을 게시할 때만 알림을 받게 됩니다.

따라서 중요한 디렉터리 상태 메시지가 누락되지 않도록 하려면 메시지를 수신하는 주제를 삭제하기 전에 디렉터리를 다른 Amazon SNS 주제와 Directory Service연결합니다.

Amazon SNS 주제를 삭제하는 방법에 대한 자세한 내용은 [Amazon SNS 주제 및 구독 삭제](https://docs.aws.amazon.com/sns/latest/dg/sns-delete-subscription-topic.html)를 참조하세요.

# AWS 관리형 Microsoft AD 디렉터리 로그 이해
<a name="ms_ad_directory_logs"></a>

 AWS 관리형 Microsoft AD 도메인 컨트롤러 인스턴스의 보안 로그는 1년 동안 보관됩니다. 도메인 컨트롤러 로그를 Amazon CloudWatch Logs로 거의 실시간으로 전달하도록 AWS 관리형 Microsoft AD 디렉터리를 구성할 수도 있습니다. 자세한 내용은 [AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch Logs 로그 전달 활성화](ms_ad_enable_log_forwarding.md) 단원을 참조하십시오.

AWS 는 규정 준수를 위해 다음 이벤트를 기록합니다.




****  

| 모니터링 범주 | 정책 설정 | 감사 상태 | 
| --- | --- | --- | 
| 계정 로그인 | 자격 증명 확인 감사  | 성공, 실패 | 
|  | 기타 계정 로그온 이벤트 감사 | 성공, 실패 | 
|  | Kerberos 인증 서비스 감사 | 성공, 실패 | 
| 계정 관리 | 컴퓨터 계정 관리 감사  | 성공, 실패 | 
|  | 기타 계정 관리 이벤트 감사 | 성공, 실패 | 
|  | 보안 그룹 관리 감사 | 성공, 실패 | 
|  | 사용자 계정 관리 감사 | 성공, 실패 | 
| 세부 추적 | DPAPI 활동 감사 | 성공, 실패 | 
|  | PNP 활동 감사 | Success | 
|  | 프로세스 생성 감사 | 성공, 실패 | 
| DS 액세스 | 디렉터리 서비스 액세스 감사 | 성공, 실패 | 
|  | 디렉터리 서비스 변경 감사 | 성공, 실패 | 
| 로그인/로그아웃 | 계정 잠금 감사 | 성공, 실패 | 
|  | 로그아웃 감사 | Success | 
|  | 로그인 감사 | 성공, 실패 | 
|  | 기타 로그온/로그오프 이벤트 감사 | 성공, 실패 | 
|  | 특별 로그인 감사 | 성공, 실패 | 
| 객체 액세스 | 기타 객체 액세스 이벤트 감사 | 성공, 실패 | 
|  | 이동식 스토리지 감사 | 성공, 실패 | 
|  | 중앙 액세스 정책 스테이징 감사 | 성공, 실패 | 
| 정책 변경 | 정책 변경 감사 | 성공, 실패 | 
|  | 인증 정책 변경 감사 | 성공, 실패 | 
|  | 권한 부여 정책 변경 감사 | 성공, 실패 | 
|  | MPSSVC 규칙 수준 정책 변경 감사 | Success | 
|  | 기타 정책 변경 이벤트 감사 | 실패 | 
| 권한 사용 | 중요 권한 사용 감사 | 성공, 실패 | 
| 시스템 | IPsec 드라이버 감사 | 성공, 실패 | 
|  | 기타 시스템 이벤트 감사 | 성공, 실패 | 
|  | 보안 상태 변경 감사 | 성공, 실패 | 
|  | 보안 시스템 확장 감사 | 성공, 실패 | 
|  | 시스템 무결성 감사 | 성공, 실패 | 

# AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch Logs 로그 전달 활성화
<a name="ms_ad_enable_log_forwarding"></a>

 Directory Service 콘솔 또는 APIs를 사용하여 도메인 컨트롤러 보안 이벤트 로그를 AWS 관리형 Microsoft AD의 Amazon CloudWatch Logs로 전달할 수 있습니다. 이는 디렉터리의 보안 이벤트에 대한 투명성을 제공하여 보안 모니터링, 감사 및 로그 보존 정책 요구 사항을 충족하는 데 도움이 됩니다.

CloudWatch Logs는 이러한 이벤트를 다른 AWS 계정, AWS 서비스 또는 타사 애플리케이션에 전달할 수도 있습니다. 따라서 비정상적인 활동을 거의 실시간으로 탐지하고 선제적으로 대응하도록 중앙 집중식으로 알림을 모니터링 및 구성하기가 좀 더 쉽습니다.

활성화된 후, CloudWatch Logs 콘솔을 사용해 서비스를 활성화할 때 지정한 로그 그룹에서 데이터를 가져올 수 있습니다. 이 로그 그룹에는 도메인 컨트롤러의 보안 로그가 포함됩니다.

이 그룹에 대한 자세한 정보 및 해당 데이터를 읽는 방법은 *Amazon CloudWatch Logs 사용 설명서*의 [로그 그룹 및 로그 스트림 작업](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)을 참조하세요.

**참고**  
로그 전달은 AWS Managed Microsoft AD의 리전별 기능입니다. [다중 리전 복제](ms_ad_configure_multi_region_replication.md)를 사용하는 경우 다음 절차를 각 리전에 별도로 적용해야 합니다. 자세한 내용은 [글로벌 기능과 리전별 기능 비교](multi-region-global-region-features.md) 단원을 참조하십시오.  
활성화되면 로그 전달 기능이 도메인 컨트롤러에서 지정된 CloudWatch 로그 그룹으로 로그 전송을 시작합니다. 로그 전달이 활성화되기 전에 생성된 로그는 CloudWatch 로그 그룹으로 전송되지 않습니다.

**Topics**
+ [AWS Management Console 를 사용하여 Amazon CloudWatch Logs 로그 전달 활성화](#enable_log_forwarding_with_console)
+ [CLI 또는 PowerShell을 사용하여 Amazon CloudWatch Logs 로그 전달 활성화](#enable_log_forwarding_with_cli)

## AWS Management Console 를 사용하여 Amazon CloudWatch Logs 로그 전달 활성화
<a name="enable_log_forwarding_with_console"></a>

에서 AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch Logs 로그 전달을 활성화할 수 있습니다 AWS Management Console.

1. [Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 공유하려는 AWS Managed Microsoft AD 디렉터리의 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제**에 여러 리전이 표시되는 경우 로그 전달을 활성화할 리전을 선택한 다음 **네트워킹 및 보안** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.

1. **로그 전송** 섹션에서 **활성화**를 선택합니다.

1. **CloudWatch로 로그 전송 활성화** 대화 상자에서 다음 옵션 중 하나를 선택합니다.

   1. **새 CloudWatch 로그 그룹 생성**을 선택하고, **CloudWatch 로그 그룹 이름**에서 CloudWatch Logs에서 참조할 수 있는 이름을 지정합니다.

   1. **Choose an existing CloudWatch log group(기존 CloudWatch 로그 그룹 선택)**을 선택하고, **기존 CloudWatch 로그 그룹** 아래의 메뉴에서 로그 그룹을 선택합니다.

1. 요금 정보와 링크를 검토한 후 **활성화**를 선택합니다.

## CLI 또는 PowerShell을 사용하여 Amazon CloudWatch Logs 로그 전달 활성화
<a name="enable_log_forwarding_with_cli"></a>

[https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html](https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html) 명령을 사용하기 전에 Amazon CloudWatch 로그 그룹을 먼저 생성한 후 해당 그룹에 필요한 권한을 부여하는 IAM 리소스 정책을 생성해야 합니다. CLI 또는 PowerShell 을 사용하여 로그 전달을 활성화하려면 다음 단계를 완료합니다.

### 1단계: CloudWatch Logs의 로그 그룹 생성
<a name="step1_create_log_group"></a>

도메인 컨트롤러에서 보안 로그를 수신하는 데 사용할 로그 그룹을 생성합니다. 필수는 아니지만, 이름 앞에 `/aws/directoryservice/`를 추가하는 것이 좋습니다. 예제:

------
#### [ CLI Command ]

```
aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'
```

------
#### [ PowerShell Command ]

```
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'
```

------

CloudWatch Logs 그룹을 생성하는 방법에 대한 지침은 *Amazon CloudWatch Logs 사용 설명서*의 [CloudWatch Logs에서 로그 그룹 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)을 참조하세요.

### 2단계: IAM에서 CloudWatch Logs 리소스 정책 생성
<a name="step2_create_resource_policy"></a>

1단계에서 생성한 새 로그 그룹에 로그를 추가할 수 있는 Directory Service 권한을 부여하는 CloudWatch Logs 리소스 정책을 생성합니다. 로그 그룹에 정확한 ARN을 지정하여 Directory Service의 액세스를 다른 로그 그룹으로 제한하거나, 와일드카드를 사용하여 모든 로그 그룹을 포함할 수 있습니다. 다음 샘플 정책은 와일드카드 메서드를 사용하여 디렉터리가 있는 AWS 계정에 `/aws/directoryservice/` 대해 로 시작하는 모든 로그 그룹이 포함되는지 식별합니다.

CLI에서 실행해야 하므로 이 정책을 로컬 워크스테이션에 텍스트 파일(예: DSPolicy.json)로 저장해야 합니다. 예제:

------
#### [ CLI Command ]

```
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
          file://DSPolicy.json
```

------
#### [ PowerShell Command ]

```
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
```

```
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
```

------

### 3단계: Directory Service 로그 구독 생성
<a name="step3_create_log_subscription"></a>

이 마지막 단계에서는 로그 구독을 생성하여 로그 전송 활성화를 계속 진행할 수 있습니다. 예제:

------
#### [ CLI Command ]

```
aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'
```

------
#### [ PowerShell Command ]

```
New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'
```

------

# CloudWatch를 사용하여 AWS 관리형 Microsoft AD 도메인 컨트롤러의 성능 모니터링
<a name="ms_ad_monitor_dc_performance"></a>

Directory Service 는 Amazon CloudWatch와 통합되어 Active Directory의 각 도메인 컨트롤러에 대한 중요한 성능 지표를 제공합니다. 즉, CPU 및 메모리 사용률과 같은 도메인 컨트롤러 성능 카운터를 모니터링할 수 있습니다. 또한 사용률이 높은 기간에 대응하도록 경보를 구성하고 자동화된 작업을 시작할 수 있습니다. 예를 들어 도메인 컨트롤러 CPU 사용률이 70%를 초과하는 경우 경보를 구성하고 이러한 상황이 발생할 때 알려주는 SNS 주제를 만들 수 있습니다. 이 SNS 주제를 사용하여 AWS Lambda 함수와 같은 자동화를 시작하고 Active Directory의 도메인 컨트롤러 수를 늘릴 수 있습니다.

도메인 컨트롤러 모니터링에 대한 자세한 내용은 [CloudWatch 지표를 사용하여 도메인 컨트롤러를 추가할 시기 결정](#scaledcs)를 참조하세요.

 Amazon CloudWatch와 관련된 요금이 있습니다. 자세한 내용은 [CloudWatch 결제 및 비용](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_billing.html)을 참조하세요.

**중요**  
캐나다 서부 (캘거리) 리전에서는 CloudWatch를 사용하는 도메인 컨트롤러 성능 지표를 사용할 수 없습니다.  
CloudWatch를 활성화하려면, [AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch Logs 로그 전달 활성화](ms_ad_enable_log_forwarding.md)을 참조하세요.

## CloudWatch에서 도메인 컨트롤러 성능 지표 찾기
<a name="locate_dc_metrics_in_cw"></a>

Amazon CloudWatch 콘솔에서는 주어진 서비스의 지표가 먼저 서비스의 네임스페이스별로 그룹화됩니다. 해당 네임스페이스에 종속되는 지표 필터를 추가할 수 있습니다. 다음 절차에 따라 CloudWatch에서 AWS 관리형 Microsoft AD 도메인 컨트롤러 지표를 설정하는 데 필요한 올바른 네임스페이스와 하위 지표를 찾습니다.

**CloudWatch 콘솔에서 도메인 컨트롤러 지표를 찾으려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) CloudWatch 콘솔을 엽니다.

1. 탐색 창에서 **지표(Metrics)**를 선택합니다.

1. 지표 목록에서 **디렉터리 서비스** 네임스페이스를 선택한 다음, 목록에서, **AWS Managed Microsoft AD** 지표를 선택합니다.

CloudWatch 콘솔을 사용하여 도메인 컨트롤러 지표를 설정하는 방법에 대한 지침은 보안 블로그의 [사용률 지표를 기반으로 AWS 관리형 Microsoft AD 조정을 자동화하는 방법을](https://aws.amazon.com/blogs/security/how-to-automate-aws-managed-microsoft-ad-scaling-based-on-utilization-metrics/) 참조하세요 AWS .

## CloudWatch 지표를 사용하여 도메인 컨트롤러를 추가할 시기 결정
<a name="scaledcs"></a>

모든 도메인 컨트롤러의 로드 밸런싱은 Active Directory의 복원력과 성능을 보장하기 위해 중요합니다. AWS Managed Microsoft AD에서 도메인 컨트롤러의 성능을 최적화하려면 먼저 CloudWatch에서 중요한 지표를 모니터링하여 기준을 형성하는 것이 좋습니다. 이 프로세스 중에는 시간 경과에 따른 Active Directory를 분석하여 평균 및 최대 Active Directory 사용률을 파악합니다. 기준을 결정한 후에는 이러한 지표를 정기적으로 모니터링하여 Active Directory에 도메인 컨트롤러를 추가할 시기를 결정할 수 있습니다.

다음 지표는 정기적으로 모니터링하는 것이 중요합니다. CloudWatch에서 사용할 수 있는 도메인 컨트롤러 지표의 전체 목록은 [AWS 관리형 Microsoft AD 성능 카운터](#performance-counters) 단원을 참조하세요.
+ 다음과 같은 도메인 컨트롤러별 지표:
  + 처리자
  + Memory
  + 논리적 디스크
  + 네트워크 인터페이스
+ AWS 다음과 같은 관리형 Microsoft AD 디렉터리별 지표:
  + LDAP 검색
  + 바인드
  + DNS 쿼리
  + 디렉터리 읽기
  + 디렉터리 쓰기

CloudWatch 콘솔을 사용하여 도메인 컨트롤러 지표를 설정하는 방법에 대한 지침은 보안 블로그의 [사용률 지표를 기반으로 AWS 관리형 Microsoft AD 조정을 자동화하는 방법을](https://aws.amazon.com/blogs/security/how-to-automate-aws-managed-microsoft-ad-scaling-based-on-utilization-metrics/) 참조하세요. AWS CloudWatch 지표에 대한 일반적인 내용은 *Amazon CloudWatch 사용 설명서*의 [Amazon CloudWatch 지표 사용](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)을 참조하세요.

도메인 컨트롤러 계획에 대한 일반적인 내용은 Microsoft 웹 사이트에서 [Active Directory 도메인 서비스의 용량 계획](https://docs.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/capacity-planning-for-active-directory-domain-services)을 참조하세요.

## AWS 관리형 Microsoft AD 성능 카운터
<a name="performance-counters"></a>

다음 표에는 AWS 관리형 Microsoft AD에서 도메인 컨트롤러 및 디렉터리 성능을 추적하기 위해 Amazon CloudWatch에서 사용할 수 있는 모든 성능 카운터가 나열되어 있습니다.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/ms_ad_monitor_dc_performance.html)

# AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch 로그 전달 비활성화
<a name="ms_ad_disable_log_forwarding_with_console"></a>

에서 AWS 관리형 Microsoft AD에 대한 CloudWatch Logs 로그 전달을 비활성화할 수 있습니다 AWS Management Console. 로그 전달에 대한 자세한 내용은 [CloudWatch를 사용하여 AWS 관리형 Microsoft AD 도메인 컨트롤러의 성능 모니터링](ms_ad_monitor_dc_performance.md)을 참조하세요.

1. [Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 공유하려는 AWS Managed Microsoft AD 디렉터리의 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제**에 여러 리전이 표시되는 경우 로그 전달을 비활성화할 리전을 선택한 다음 **네트워킹 및 보안** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.

1. **로그 전송** 섹션에서 **비활성화**를 선택합니다.

1. **로그 전달 비활성화** 대화 상자의 정보를 읽은 후 **비활성화**를 선택합니다.

# Microsoft 이벤트 뷰어로 DNS 서버 모니터링
<a name="ms_ad_dns_event_viewer"></a>

 AWS 관리형 Microsoft AD DNS 이벤트를 감사하여 DNS 문제를 쉽게 식별하고 해결할 수 있습니다. 예를 들어 DNS 레코드가 누락된 경우 DNS 감사 이벤트 로그를 사용하여 문제의 근본 원인을 파악하고 이를 해결할 수 있습니다. 또한 DNS 감사 이벤트 로그를 사용하여 의심스러운 IP 주소에서 발신된 요청을 감지하여 차단함으로써 보안을 강화할 수 있습니다.

이렇게 하려면 **Admin** 계정 또는 **AWS Domain Name System Administrators** 그룹의 구성원인 계정으로 로그인되어 있어야 합니다. 이 그룹에 대한 자세한 내용은 [AWS 관리형 Microsoft AD로 생성되는 항목](ms_ad_getting_started_what_gets_created.md) 단원을 참조하세요.

**AWS 관리형 Microsoft AD DNS의 이벤트 뷰어에 액세스하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 왼쪽 탐색 창에서 **인스턴스**를 선택합니다.

1.  AWS Managed Microsoft AD 디렉터리에 조인된 Amazon EC2 인스턴스를 찾습니다. 찾은 인스턴스를 선택한 다음 [**Connect**]를 선택합니다.

1. Amazon EC2 인스턴스에 연결되면 **시작** 메뉴를 열고 **Windows 관리 도구** 폴더를 선택합니다. **관리 도구** 폴더에서 **이벤트 뷰어**를 선택합니다.

1. [**Event Viewer**] 창에서 [**Action**]을 선택한 다음 [**Connect to Another Computer**]를 선택합니다.

1. **다른 컴퓨터를** 선택하고 AWS 관리형 Microsoft AD DNS 서버 이름 또는 IP 주소 중 하나를 입력한 다음 **확인을** 선택합니다.

1. 왼쪽 창에서 [**Applications and Services Logs**] > [**Microsoft**] > [**Windows**] > [**DNS-Server**]를 선택한 다음 [**Audit**]을 선택합니다.