As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitando o encaminhamento de CloudWatch registros do Amazon Logs para o AWS Managed Microsoft AD
<a name="ms_ad_enable_log_forwarding"></a>

Você pode usar o Directory Service console ou encaminhar os registros APIs de eventos de segurança do controlador de domínio para o Amazon CloudWatch Logs do seu Microsoft AD AWS gerenciado. Isso ajuda a cumprir requisitos de políticas de monitoramento de segurança, auditoria e retenção de logs, proporcionando transparência dos eventos de segurança em um diretório.

CloudWatch Os registros também podem encaminhar esses eventos para outras AWS contas, AWS serviços ou aplicativos de terceiros. Assim, fica mais fácil monitorar e configurar alertas de forma centralizada para detectar e responder proativamente a atividades incomuns quase em tempo real.

Depois de ativado, você pode usar o console de CloudWatch registros para recuperar os dados do grupo de registros especificado ao ativar o serviço. Esse grupo de logs contém os logs de segurança de seus controladores de domínio. 

Para obter mais informações sobre grupos de registros e como ler seus dados, consulte [Trabalho com grupos de registros e fluxos de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) no *Guia do usuário do Amazon CloudWatch Logs*. 

**nota**  
O encaminhamento de registros é um recurso regional do AWS Managed Microsoft AD. Se você estiver utilizando a [replicação em várias regiões](ms_ad_configure_multi_region_replication.md), os procedimentos a seguir devem ser aplicados separadamente em cada região. Para obter mais informações, consulte [Recursos globais versus regionais](multi-region-global-region-features.md).  
Depois de ativado, o recurso de encaminhamento de registros começará a transmitir os registros de seus controladores de domínio para o grupo de registros especificado CloudWatch . Todos os registros criados antes da ativação do encaminhamento de registros não serão transferidos para o grupo de CloudWatch registros.

**Topics**
+ [Usando o Console de gerenciamento da AWS para habilitar o encaminhamento de CloudWatch registros do Amazon Logs](#enable_log_forwarding_with_console)
+ [Usando a CLI ou PowerShell para habilitar o encaminhamento de registros do Amazon CloudWatch Logs](#enable_log_forwarding_with_cli)

## Usando o Console de gerenciamento da AWS para habilitar o encaminhamento de CloudWatch registros do Amazon Logs
<a name="enable_log_forwarding_with_console"></a>

Você pode ativar o encaminhamento de CloudWatch registros do Amazon Logs para seu Microsoft AD AWS gerenciado no Console de gerenciamento da AWS.

1. No painel de navegação do [console do Directory Service](https://console.aws.amazon.com/directoryservicev2/), escolha **Diretórios**.

1. Escolha a ID do diretório AWS Managed Microsoft AD que você deseja compartilhar.

1. Na página **Detalhes do diretório**, siga um destes procedimentos:
   + Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região em que deseja habilitar o encaminhamento de logs e, em seguida, escolha a guia **Rede e segurança**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
   + Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Rede e segurança**.

1. Na seção **Log forwarding (Encaminhamento de logs)**, escolha **Enable** (Habilitar).

1. Na caixa de CloudWatch diálogo **Habilitar encaminhamento de log** para, escolha uma das seguintes opções:

   1. Selecione **Criar um novo grupo de CloudWatch registros**, em **Nome do grupo de CloudWatch registros**, especifique um nome ao qual você possa se referir em CloudWatch Registros.

   1. Selecione **Escolher um grupo de CloudWatch registros existente** e, em **Grupos de CloudWatch registros existentes**, selecione um grupo de registros no menu.

1. Revise as informações sobre a definição de preços e o link e escolha **Enable** (Habilitar).

## Usando a CLI ou PowerShell para habilitar o encaminhamento de registros do Amazon CloudWatch Logs
<a name="enable_log_forwarding_with_cli"></a>

Antes de usar o [https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html](https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html)comando, você deve primeiro criar um grupo de CloudWatch logs da Amazon e, em seguida, criar uma política de recursos do IAM que concederá a permissão necessária para esse grupo. Para habilitar o encaminhamento de registros usando a CLI PowerShell ou, conclua as etapas a seguir.

### Etapa 1: criar um grupo de CloudWatch registros em Registros
<a name="step1_create_log_group"></a>

Crie um grupo de logs que será usado para receber os logs de segurança dos controladores de domínio. Recomendamos o acréscimo de prefixos ao nome `/aws/directoryservice/`, mas isso não é necessário. Por exemplo:

------
#### [ CLI Command ]

```
aws logs create-log-group --log-group-name '/aws/directoryservice/{{d-1111111111}}'
```

------
#### [ PowerShell Command ]

```
New-CWLLogGroup -LogGroupName '/aws/directoryservice/{{d-1111111111}}'
```

------

Para obter instruções sobre como criar um grupo de CloudWatch registros, consulte [Criar um grupo de CloudWatch registros em Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group) no *Guia do usuário do Amazon CloudWatch Logs*.

### Etapa 2: criar uma política de recursos de CloudWatch registros no IAM
<a name="step2_create_resource_policy"></a>

Crie uma política de recursos de CloudWatch registros concedendo Directory Service direitos para adicionar registros ao novo grupo de registros que você criou na Etapa 1. Você pode especificar o ARN exato para o grupo de logs para limitar o acesso do Directory Service a outros grupos de logs ou usar um caractere curinga para incluir todos os grupos de logs. O exemplo de política a seguir usa o método curinga para identificar que todos os grupos de registros que começam com `/aws/directoryservice/` a AWS conta em que seu diretório reside serão incluídos. 

Você precisará salvar essa política em um arquivo de texto (por exemplo, DSPolicy .json) em sua estação de trabalho local, pois precisará executá-la a partir da CLI. Por exemplo:

------
#### [ CLI Command ]

```
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
          file://DSPolicy.json
```

------
#### [ PowerShell Command ]

```
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
```

```
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
```

------

### Etapa 3: criar uma assinatura de Directory Service registro
<a name="step3_create_log_subscription"></a>

Nesta etapa final, agora você poderá prosseguir para habilitar o encaminhamento de log, criando a assinatura de log. Por exemplo:

------
#### [ CLI Command ]

```
aws ds create-log-subscription --directory-id '{{d-1111111111}}' --log-group-name '/aws/directoryservice/{{d-1111111111}}'
```

------
#### [ PowerShell Command ]

```
New-DSLogSubscription -DirectoryId '{{d-1111111111}}' -LogGroupName '/aws/directoryservice/{{d-1111111111}}'
```

------