翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送の有効化
<a name="ms_ad_enable_log_forwarding"></a>

 Directory Service コンソールまたは APIs を使用して、ドメインコントローラーのセキュリティイベントログを AWS Managed Microsoft AD の Amazon CloudWatch Logs に転送できます。これにより、ディレクトリのセキュリティイベントの透明性が得られ、セキュリティモニタリング、監査、およびログの保持ポリシーの要件を満たすために役立ちます。

CloudWatch Logs は、これらのイベントを他の AWS アカウント、 AWS サービス、またはサードパーティーアプリケーションに転送することもできます。これにより、一元的なアラートのモニタリングと設定、および、ほぼリアルタイムでの異常なアクティビティへの事前の対応が容易になります。

有効化されたら、CloudWatch Logs コンソールを使用して、このサービスを有効化したときに指定したロググループからデータを取得できます。このロググループには、ドメインコントローラーのセキュリティログが含まれます。

ロググループとそのデータの読み方の詳細については、「*Amazon CloudWatch Logs ユーザーガイド*」の「[ロググループとログストリームの操作](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)」を参照してください。

**注記**  
ログ転送は AWS Managed Microsoft AD のリージョン機能です。「[マルチリージョンレプリケーション](ms_ad_configure_multi_region_replication.md)」を使用している場合、次の手順を各リージョンで個別に適用する必要があります。詳細については、「[グローバル機能とリージョン機能](multi-region-global-region-features.md)」を参照してください。  
有効にすると、ログ転送機能はドメインコントローラーから指定された CloudWatch ロググループへのログの送信を開始します。ログ転送が有効になる前に作成されたログは、CloudWatch ロググループに転送されません。

**Topics**
+ [AWS マネジメントコンソール を使用して Amazon CloudWatch Logs ログ転送を有効にする](#enable_log_forwarding_with_console)
+ [CLI または PowerShell を使用して Amazon CloudWatch Logs ログ転送を有効にする](#enable_log_forwarding_with_cli)

## AWS マネジメントコンソール を使用して Amazon CloudWatch Logs ログ転送を有効にする
<a name="enable_log_forwarding_with_console"></a>

Managed AWS Microsoft AD の Amazon CloudWatch Logs ログ転送は、 で有効にできます AWS マネジメントコンソール。

1. [Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**ディレクトリ**を選択します。

1. 共有する AWS Managed Microsoft AD ディレクトリのディレクトリ ID を選択します。

1. **ディレクトリ詳細**ページで、以下のいずれかの操作を行います。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、ログ転送を有効にするリージョンを選択し、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
   + **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Log forwarding]** (ログ転送) セクションで、**[Enable]** (有効化) を選択します。

1. **[Enable log forwarding to CloudWatch]** (CloudWatch へのログ転送を有効化する) ダイアログで、次のいずれかのオプションを選択します。

   1. **[Create a new CloudWatch log group]** (新しい CloudWatch ロググループを作成) を選択し、**[CloudWatch Log group name]** (CloudWatch ロググループ名) で CloudWatch Logs で参照できる名前を指定します。

   1. **[Choose an existing CloudWatch log group]** (既存の CloudWatch ロググループを選択) を選択し、**[Existing CloudWatch log groups]** (既存の CloudWatch ロググループ) でメニューからロググループを選択します。

1. 料金の情報とリンクを確認したら、**[Enable]** (有効化) をクリックします。

## CLI または PowerShell を使用して Amazon CloudWatch Logs ログ転送を有効にする
<a name="enable_log_forwarding_with_cli"></a>

[https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html](https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html) コマンドを使用するには、まず Amazon CloudWatch ロググループを作成し、そのグループに必要なアクセス許可を付与する IAM リソースポリシーを作成する必要があります。CLI または PowerShell を使用してログ転送を有効にするには、次の手順を完了します。

### ステップ 1: CloudWatch Logs にロググループを作成する
<a name="step1_create_log_group"></a>

ドメインコントローラーからセキュリティログを受信するために使用されるロググループを作成します。名前の先頭には `/aws/directoryservice/` を付けることをお勧めしますが、必須ではありません。例えば、次のようになります。

------
#### [ CLI Command ]

```
aws logs create-log-group --log-group-name '/aws/directoryservice/{{d-1111111111}}'
```

------
#### [ PowerShell Command ]

```
New-CWLLogGroup -LogGroupName '/aws/directoryservice/{{d-1111111111}}'
```

------

CloudWatch Logs グループの作成方法については、「*Amazon CloudWatch Logs ユーザーガイド*」の「[CloudWatch Logs にロググループを作成します](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)」を参照してください。

### ステップ 2: IAM で CloudWatch Logs リソースポリシーを作成する
<a name="step2_create_resource_policy"></a>

ステップ 1 で作成した新しいロググループにログを追加する Directory Service 権限を付与する CloudWatch Logs リソースポリシーを作成します。ロググループに ARN をそのまま指定して他のロググループへの Directory Serviceのアクセスを制限することも、ワイルドカードを使用してすべてのロググループを含めることもできます。次のサンプルポリシーでは、ワイルドカードメソッドを使用して、ディレクトリが存在する`/aws/directoryservice/` AWS アカウントの で始まるすべてのロググループが含まれることを特定します。

CLI から実行する必要があるため、このポリシーをローカルワークステーションのテキストファイル (例えば、DSPolicy.json) に保存する必要があります。例えば、次のようになります。

------
#### [ CLI Command ]

```
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
          file://DSPolicy.json
```

------
#### [ PowerShell Command ]

```
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
```

```
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
```

------

### ステップ 3: Directory Service ログサブスクリプションを作成する
<a name="step3_create_log_subscription"></a>

この最後のステップでは、ログのサブスクリプションを作成して、ログ転送を有効にできます。例：

------
#### [ CLI Command ]

```
aws ds create-log-subscription --directory-id '{{d-1111111111}}' --log-group-name '/aws/directoryservice/{{d-1111111111}}'
```

------
#### [ PowerShell Command ]

```
New-DSLogSubscription -DirectoryId '{{d-1111111111}}' -LogGroupName '/aws/directoryservice/{{d-1111111111}}'
```

------