本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 啟用 AWS Managed Microsoft AD 的 Amazon CloudWatch Logs 日誌轉送
您可以使用 Directory Service 主控台或 APIs,將網域控制站安全事件日誌轉送至 AWS Managed Microsoft AD 的 Amazon CloudWatch Logs。這可讓目錄中的安全事件公開透明,協助滿足安全監控、稽核和日誌保留政策需求。
CloudWatch Logs 也可以將這些事件轉送到其他 AWS 帳戶、 AWS 服務或第三方應用程式。您可以更輕鬆地集中監控和設定提醒,以近乎即時的速度主動偵測和回應不尋常的活動。
啟用之後,即可使用 CloudWatch Logs 主控台,從您啟用服務時所指定的日誌群組擷取資料。此日誌群組包含您網域控制器的安全日誌。
如需日誌群組以及如何讀取它們的資料的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》**中的[使用日誌群組和日誌串流](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)兩節。
**注意**
日誌轉送是 AWS Managed Microsoft AD 的區域功能。如果您使用的是[多區域複寫](ms_ad_configure_multi_region_replication.md),則必須在每個區域中分別套用下列程序。如需詳細資訊,請參閱[全域與區域功能](multi-region-global-region-features.md)。
啟用後,日誌轉送功能將開始將日誌從網域控制站傳輸到指定的 CloudWatch 日誌群組。在啟用日誌轉送之前建立的任何日誌都不會傳輸至 CloudWatch 日誌群組。
**Topics**
+ [使用 AWS 管理主控台 啟用 Amazon CloudWatch Logs 日誌轉送](#enable_log_forwarding_with_console)
+ [使用 CLI 或 PowerShell 啟用 Amazon CloudWatch Logs 日誌轉送](#enable_log_forwarding_with_cli)
## 使用 AWS 管理主控台 啟用 Amazon CloudWatch Logs 日誌轉送
您可以在 中為 AWS Managed Microsoft AD 啟用 Amazon CloudWatch Logs 日誌轉送 AWS 管理主控台。
1. 在 [Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中,選擇 **Directories (目錄)**。
1. 選擇您要共用之 AWS Managed Microsoft AD 目錄的目錄 ID。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取要啟用日誌轉發的區域,然後選擇**聯網和安全**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**聯網和安全**索引標籤。
1. 在 **Log forwarding (日誌轉發)** 部分,選擇 **Enable (啟用)**。
1. 在**啟用日誌轉發至 CloudWatch** 對話方塊中,選擇下列其中一個選項:
1. 在 **CloudWatch 日誌群組名稱**底下,選取**建立新的 CloudWatch 日誌群組**,指定您可以在 CloudWatch Logs 中參考的名稱。
1. 選取 **Choose an existing CloudWatch log group (選擇現有 CloudWatch 日誌群組)**,並在 **Existing CloudWatch log groups (現有 CloudWatch 日誌群組)** 中,從功能表選出一個日誌群組。
1. 檢閱價格資訊和連結,然後選擇 **Enable (啟用)**。
## 使用 CLI 或 PowerShell 啟用 Amazon CloudWatch Logs 日誌轉送
使用 [https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html](https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html) 指令之前,必須先建立 Amazon CloudWatch 日誌群組,然後建立 IAM 資源政策以授與該群組必要的許可。若要使用 CLI 或 PowerShell 啟用日誌轉送,請完成下列步驟。
### 步驟 1:在 CloudWatch Logs 中建立日誌群組
建立日誌群組以接收網域控制器的安全日誌。我們建議在名稱前面加上 `/aws/directoryservice/`,但這並非必要步驟。例如:
------
#### [ CLI Command ]
```
aws logs create-log-group --log-group-name '/aws/directoryservice/{{d-1111111111}}'
```
------
#### [ PowerShell Command ]
```
New-CWLLogGroup -LogGroupName '/aws/directoryservice/{{d-1111111111}}'
```
------
如需有關如何建立 CloudWatch 日誌群組的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》**中的[在 CloudWatch Logs 中建立日誌群組](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)。
### 步驟 2:在 IAM 中建立 CloudWatch Logs 資源政策
建立 CloudWatch Logs 資源政策,授予將日誌新增至您在步驟 1 中建立之新日誌群組 Directory Service 的權限。您可以指定日誌群組的確切 ARN,以限制 對其他日誌群組 Directory Service的存取,或使用萬用字元來包含所有日誌群組。下列範例政策使用 萬用字元方法,來識別將包含目錄所在 AWS 帳戶的所有以 `/aws/directoryservice/` 開頭的日誌群組。
您必須在本機工作站上將此政策儲存為文字檔格式 (例如 DSPolicy.json),以便之後從 CLI 加以執行。例如:
------
#### [ CLI Command ]
```
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
file://DSPolicy.json
```
------
#### [ PowerShell Command ]
```
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
```
```
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
```
------
### 步驟 3:建立 Directory Service 日誌訂閱
在此最終步驟中,您可以藉由建立日誌訂閱,來啟用日誌轉發功能。例如:
------
#### [ CLI Command ]
```
aws ds create-log-subscription --directory-id '{{d-1111111111}}' --log-group-name '/aws/directoryservice/{{d-1111111111}}'
```
------
#### [ PowerShell Command ]
```
New-DSLogSubscription -DirectoryId '{{d-1111111111}}' -LogGroupName '/aws/directoryservice/{{d-1111111111}}'
```
------