本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为 AWS 托管 Microsoft AD 启用亚马逊 CloudWatch 日志转发
您可以使用 Directory Service 控制台或将域控制器安全事件日志转发 APIs 到 AWS 托管 Microsoft AD 的 Amazon CloudWatch 日志。这为目录中的安全事件提供了透明度,从而帮助您满足安全监控、审计和日志保留策略要求。
CloudWatch 日志还可以将这些事件转发给其他 AWS 账户、 AWS 服务或第三方应用程序。这样一来,您可以更加轻松地集中监控和配置提醒,从而能近乎实时地检测并主动响应异常活动。
启用后,您可以使用 CloudWatch 日志控制台从您在启用该服务时指定的日志组中检索数据。此日志组将包含您的域控制器中的安全日志。
有关日志组以及如何读取其数据的更多信息,请参阅 *Amazon Logs 用户指南中的使用日志组和 CloudWatch 日志*[流](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)。
**注意**
日志转发是 AWS 托管 Microsoft AD 的一项区域功能。如果您使用的是[多区域复制](ms_ad_configure_multi_region_replication.md),则必须分别在每个区域中应用以下过程。有关更多信息,请参阅 [全局与区域特色](multi-region-global-region-features.md)。
启用后,日志转发功能将开始将日志从您的域控制器传输到指定的 CloudWatch 日志组。在启用日志转发之前创建的任何日志都不会传输到 CloudWatch 日志组。
**Topics**
+ [
## 使用启用 AWS 管理控制台 Amazon CloudWatch 日志转发
](#enable_log_forwarding_with_console)
+ [
## 使用 CLI 或启 PowerShell 用 Amazon CloudWatch 日志转发
](#enable_log_forwarding_with_cli)
## 使用启用 AWS 管理控制台 Amazon CloudWatch 日志转发
你可以在中为你的 AWS 托管 Microsoft AD 启用亚马逊 CloudWatch 日志转发 AWS 管理控制台。
1. 在 [Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 选择要共享的 AWS 托管 Microsoft AD 目录的目录 ID。
1. 在**报告详细信息**页面上,执行以下操作之一:
+ 如果**多区域复制**下显示多个区域,选择想要启用日志转发的区域,然后选择**网络与安全**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
+ 如果**多区域复制**下未显示任何区域,选择**网络与安全**选项卡。
1. 在 **Log forwarding (日志转发)** 部分中,选择 **Enable (启用)**。
1. 在 “**启用日志转发至 CloudWatch**” 对话框中,选择以下任一选项:
1. 选择 “**创建新 CloudWatch 日志组**”,在 “**CloudWatch 日志组名称**” 下,指定一个可以在 CloudWatch 日志中引用的名称。
1. 选择**选择现有 CloudWatch 日志组**,然后在**现有 CloudWatch 日志组**下,从菜单中选择一个日志组。
1. 查看定价信息和链接,然后选择 **Enable (启用)**。
## 使用 CLI 或启 PowerShell 用 Amazon CloudWatch 日志转发
在使用该[https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html](https://docs.aws.amazon.com/cli/latest/reference/ds/create-log-subscription.html)命令之前,您必须先创建一个 Amazon CloudWatch 日志组,然后创建一个 IAM 资源策略来向该组授予必要权限。要使用 CLI 或启用日志转发 PowerShell,请完成以下步骤。
### 步骤 1:在日志中创建 CloudWatch 日志组
创建一个将用于接收来自域控制器的安全日志的日志组。我们建议在名称前添加 `/aws/directoryservice/`,但这不是必需的。例如:
------
#### [ CLI Command ]
```
aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'
```
------
#### [ PowerShell Command ]
```
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'
```
------
有关如何创建 CloudWatch 日志组的说明,请参阅 *Amazon Logs 用户指南中 CloudWatch 日志中的创建 CloudWatch 日志*[组](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)。
### 步骤 2:在 IAM 中创建 CloudWatch 日志资源策略
创建 CloudWatch 日志资源策略,授予将日志添加到您在步骤 1 中创建的新日志组的 Directory Service 权限。您可以为日志组指定确切的 ARN 以限制 Directory Service对其他日志组的访问权限,或使用通配符以包含所有日志组。以下示例策略使用通配符方法来确定您的目录所在 AWS 账户的所有`/aws/directoryservice/`以开头的日志组都将包括在内。
您需要将此策略保存到本地工作站上的文本文件(例如 DSPolicy .json)中,因为您需要从 CLI 运行它。例如:
------
#### [ CLI Command ]
```
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
file://DSPolicy.json
```
------
#### [ PowerShell Command ]
```
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
```
```
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument
```
------
### 步骤 3:创建 Directory Service 日志订阅
在此最终步骤中,您现在可以通过创建日志订阅来继续启用日志转发。例如:
------
#### [ CLI Command ]
```
aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'
```
------
#### [ PowerShell Command ]
```
New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'
```
------