기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch Logs 로그 전달 활성화
<a name="ms_ad_enable_log_forwarding"></a>

 Directory Service 콘솔 또는 APIs를 사용하여 도메인 컨트롤러 보안 이벤트 로그를 AWS 관리형 Microsoft AD의 Amazon CloudWatch Logs로 전달할 수 있습니다. 이는 디렉터리의 보안 이벤트에 대한 투명성을 제공하여 보안 모니터링, 감사 및 로그 보존 정책 요구 사항을 충족하는 데 도움이 됩니다.

CloudWatch Logs는 이러한 이벤트를 다른 AWS 계정, AWS 서비스 또는 타사 애플리케이션에 전달할 수도 있습니다. 따라서 비정상적인 활동을 거의 실시간으로 탐지하고 선제적으로 대응하도록 중앙 집중식으로 알림을 모니터링 및 구성하기가 좀 더 쉽습니다.

활성화된 후, CloudWatch Logs 콘솔을 사용해 서비스를 활성화할 때 지정한 로그 그룹에서 데이터를 가져올 수 있습니다. 이 로그 그룹에는 도메인 컨트롤러의 보안 로그가 포함됩니다.

이 그룹에 대한 자세한 정보 및 해당 데이터를 읽는 방법은 *Amazon CloudWatch Logs 사용 설명서*의 [로그 그룹 및 로그 스트림 작업](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)을 참조하세요.

**참고**  
로그 전달은 AWS Managed Microsoft AD의 리전별 기능입니다. [다중 리전 복제](ms_ad_configure_multi_region_replication.md)를 사용하는 경우 다음 절차를 각 리전에 별도로 적용해야 합니다. 자세한 내용은 [글로벌 기능과 리전별 기능 비교](multi-region-global-region-features.md) 단원을 참조하십시오.  
활성화되면 로그 전달 기능이 도메인 컨트롤러에서 지정된 CloudWatch 로그 그룹으로 로그 전송을 시작합니다. 로그 전달이 활성화되기 전에 생성된 로그는 CloudWatch 로그 그룹으로 전송되지 않습니다.

**Topics**
+ [AWS Management Console 를 사용하여 Amazon CloudWatch Logs 로그 전달 활성화](#enable_log_forwarding_with_console)
+ [CLI 또는 PowerShell을 사용하여 Amazon CloudWatch Logs 로그 전달 활성화](#enable_log_forwarding_with_cli)

## AWS Management Console 를 사용하여 Amazon CloudWatch Logs 로그 전달 활성화
<a name="enable_log_forwarding_with_console"></a>

에서 AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch Logs 로그 전달을 활성화할 수 있습니다 AWS Management Console.

1. [Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.

1. 공유하려는 AWS Managed Microsoft AD 디렉터리의 디렉터리 ID를 선택합니다.

1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
   + **다중 리전 복제**에 여러 리전이 표시되는 경우 로그 전달을 활성화할 리전을 선택한 다음 **네트워킹 및 보안** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
   + **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.

1. **로그 전송** 섹션에서 **활성화**를 선택합니다.

1. **CloudWatch로 로그 전송 활성화** 대화 상자에서 다음 옵션 중 하나를 선택합니다.

   1. **새 CloudWatch 로그 그룹 생성**을 선택하고, **CloudWatch 로그 그룹 이름**에서 CloudWatch Logs에서 참조할 수 있는 이름을 지정합니다.

   1. **Choose an existing CloudWatch log group(기존 CloudWatch 로그 그룹 선택)**을 선택하고, **기존 CloudWatch 로그 그룹** 아래의 메뉴에서 로그 그룹을 선택합니다.

1. 요금 정보와 링크를 검토한 후 **활성화**를 선택합니다.

## CLI 또는 PowerShell을 사용하여 Amazon CloudWatch Logs 로그 전달 활성화
<a name="enable_log_forwarding_with_cli"></a>

[https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html](https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html) 명령을 사용하기 전에 Amazon CloudWatch 로그 그룹을 먼저 생성한 후 해당 그룹에 필요한 권한을 부여하는 IAM 리소스 정책을 생성해야 합니다. CLI 또는 PowerShell 을 사용하여 로그 전달을 활성화하려면 다음 단계를 완료합니다.

### 1단계: CloudWatch Logs의 로그 그룹 생성
<a name="step1_create_log_group"></a>

도메인 컨트롤러에서 보안 로그를 수신하는 데 사용할 로그 그룹을 생성합니다. 필수는 아니지만, 이름 앞에 `/aws/directoryservice/`를 추가하는 것이 좋습니다. 예제:

------
#### [ CLI Command ]

```
aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'
```

------
#### [ PowerShell Command ]

```
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'
```

------

CloudWatch Logs 그룹을 생성하는 방법에 대한 지침은 *Amazon CloudWatch Logs 사용 설명서*의 [CloudWatch Logs에서 로그 그룹 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)을 참조하세요.

### 2단계: IAM에서 CloudWatch Logs 리소스 정책 생성
<a name="step2_create_resource_policy"></a>

1단계에서 생성한 새 로그 그룹에 로그를 추가할 수 있는 Directory Service 권한을 부여하는 CloudWatch Logs 리소스 정책을 생성합니다. 로그 그룹에 정확한 ARN을 지정하여 Directory Service의 액세스를 다른 로그 그룹으로 제한하거나, 와일드카드를 사용하여 모든 로그 그룹을 포함할 수 있습니다. 다음 샘플 정책은 와일드카드 메서드를 사용하여 디렉터리가 있는 AWS 계정에 `/aws/directoryservice/` 대해 로 시작하는 모든 로그 그룹이 포함되는지 식별합니다.

CLI에서 실행해야 하므로 이 정책을 로컬 워크스테이션에 텍스트 파일(예: DSPolicy.json)로 저장해야 합니다. 예제:

------
#### [ CLI Command ]

```
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
          file://DSPolicy.json
```

------
#### [ PowerShell Command ]

```
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
```

```
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
```

------

### 3단계: Directory Service 로그 구독 생성
<a name="step3_create_log_subscription"></a>

이 마지막 단계에서는 로그 구독을 생성하여 로그 전송 활성화를 계속 진행할 수 있습니다. 예제:

------
#### [ CLI Command ]

```
aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'
```

------
#### [ PowerShell Command ]

```
New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'
```

------