Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Connexion et surveillance AWS Directory Service
La bonne pratique consiste à surveiller votre organisation pour vous assurer que les modifications sont journalisées. Cela vous permet de vous assurer que tout changement inattendu peut être étudié et que les modifications indésirables peuvent être annulées. AWS Directory Service prend actuellement en charge les deux AWS services suivants, afin que vous puissiez surveiller votre organisation et les activités qui s'y déroulent.
+ Amazon CloudWatch - Vous pouvez utiliser CloudWatch Events avec le type d'annuaire AWS Managed Microsoft AD. Pour de plus amples informations, veuillez consulter [Activation du transfert de CloudWatch journaux Amazon Logs pour AWS Managed Microsoft AD](ms_ad_enable_log_forwarding.md). En outre, vous pouvez utiliser CloudWatch les métriques pour surveiller les performances du contrôleur de domaine. Pour de plus amples informations, veuillez consulter [Déterminer quand ajouter des contrôleurs de domaine avec des CloudWatch métriques](ms_ad_monitor_dc_performance.md#scaledcs).
+ AWS CloudTrail
+ Vous pouvez l'utiliser CloudTrail avec tous les types de Directory Service répertoires. Pour de plus amples informations, veuillez consulter [Journalisation des appels AWS Directory Service d'API à l'aide AWS CloudTrail](logging-using-cloudtrail-ads.md).
+ Vous pouvez l'utiliser CloudTrail avec AWS Managed Microsoft AD dans l'API Directory Service Data. Pour de plus amples informations, veuillez consulter [Journalisation AWS des appels d'API de données du Directory Service à l'aide de AWS CloudTrail](logging-using-cloudtrail.md).
# Journalisation des appels AWS Directory Service d'API à l'aide AWS CloudTrail
L'API AWS Managed Microsoft AD est intégrée à AWS CloudTrail un service qui capture les appels d'API effectués par ou pour le compte de AWS Managed Microsoft AD dans votre Compte AWS répertoire et envoie les fichiers journaux dans un compartiment Amazon S3 que vous spécifiez. CloudTrail capture les appels d'API depuis la console AWS Managed Microsoft AD et depuis les appels de code vers AWS Managed Microsoft AD APIs. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer quelle demande a été envoyée à AWS Managed Microsoft AD, l'adresse IP source à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite, etc. Pour en savoir plus CloudTrail, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS Informations Microsoft AD gérées dans CloudTrail
CloudTrail est activé sur votre compte Compte AWS lorsque vous créez le compte. Lorsqu'une activité se produit dans AWS Managed Microsoft AD, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans **l'historique des événements**. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Pour un enregistrement continu des événements survenus dans votre environnement Compte AWS, y compris ceux relatifs AWS à Managed Microsoft AD, créez une trace. Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un parcours dans la console, celui-ci s'applique à toutes les AWS régions. Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :
+ [Vue d’ensemble de la création d’un journal d’activité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Services et intégrations pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Lorsque la CloudTrail journalisation est activée dans votre Compte AWS compte, tous les appels d'API effectués aux actions AWS Managed Microsoft AD sont suivis dans des fichiers journaux. AWS Les enregistrements Microsoft AD gérés sont écrits avec les autres enregistrements AWS de service dans un fichier journal. CloudTrail détermine à quel moment créer et écrire dans un nouveau fichier en fonction d'une période et de la taille du fichier. Tous les appels effectués vers l' Directory Service API ou les appels CLI sont enregistrés par CloudTrail.
Chaque entrée du journal contient des informations sur la personne qui a généré la demande. Les informations d'identité utilisateur contenues dans le journal vous aident à déterminer si la demande a été faite avec les informations d'identification de l'utilisateur root ou IAM, avec des informations de sécurité temporaires pour un rôle ou un utilisateur fédéré, ou par un autre AWS service. Pour plus d'informations, reportez-vous au champ **userIdentity** dans le [Guide de référence des événements CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/event_reference_top_level.html).
Vous pouvez stocker vos fichiers journaux dans votre compartiment aussi longtemps que vous le souhaitez, mais vous pouvez également définir des règles de cycle de vie Amazon S3 pour archiver ou supprimer automatiquement les fichiers journaux. Par défaut, vos fichiers journaux sont chiffrés à l’aide du chiffrement côté serveur (SSE) d’Amazon S3.
Vous pouvez choisir de CloudTrail publier des notifications Amazon SNS lorsque de nouveaux fichiers journaux sont livrés si vous souhaitez agir rapidement lors de la livraison des fichiers journaux. Pour de plus amples informations, veuillez consulter [Configuration des notifications Amazon SNS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html).
Vous pouvez également agréger les fichiers journaux Microsoft AD AWS gérés provenant de plusieurs AWS régions Comptes AWS dans un seul compartiment Amazon S3. Pour plus d'informations, consultez la section [Agrégation de fichiers CloudTrail journaux dans un seul compartiment Amazon S3](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/aggregating_logs_top_level.html).
## Comprendre les entrées de fichiers journaux Microsoft AD AWS gérées
CloudTrail les fichiers journaux peuvent contenir une ou plusieurs entrées de journal, chaque entrée étant composée de plusieurs événements au format JSON. Une entrée de journal représente une demande individuelle à partir d'une source quelconque et comprend des informations sur l'action demandée, sur tous les paramètres, sur la date et l'heure de l'action, etc. Il n'est pas garanti que les entrées du journal soient dans un ordre particulier, c'est-à-dire qu'elles ne constituent pas une trace ordonnée des appels d'API publics.
Les informations sensibles, telles que les mots de passe, les jetons d'authentification, les commentaires sur les fichiers et le contenu des fichiers, sont consignées dans les entrées de journal.
L'exemple suivant montre un exemple d'entrée de CloudTrail journal pour AWS Managed Microsoft AD :
```
{
"Records" : [
{
"eventVersion" : "1.02",
"userIdentity" :
{
"type" : "IAMUser",
"principalId" : "",
"arn" : "",
"accountId" : "",
"accessKeyId" : "",
"userName" : ""
},
"eventTime" : "",
"eventSource" : "ds.amazonaws.com",
"eventName" : "CreateDirectory",
"awsRegion" : "",
"sourceIPAddress" : "",
"userAgent" : "",
"requestParameters" :
{
"name" : "",
"shortName" : "",
"vpcSettings" :
{
"vpcId" : "",
"subnetIds" : [
"",
""
]
},
"type" : "",
"setAsDefault" :