AWS Security > IAM > Directory Service > Windows 事件日志转发

Windows 事件日志转发

我们可以将来自 AWS Managed Microsoft AD 目录的安全 Windows 事件日志转发到 CloudWatch Logs

在Directory的Networking & security部分，拉到最底：

在日志转发部分，选择启用：

创建新的 CloudWatch 日志组，对于 CloudWatch 日志组名称，我们可以保留预填充的名称或指定任何我们喜欢的名称作为CloudWatch 日志组名称：

选择启用：

点击上面的Log group name进入cloudwatch页面：

在该日志组中，我们将看到至少 3 个日志流，其中 2 个是 IP 地址-SecurityEvents，这些是域控制器安全事件日志，另一个是 directory-service-test-log-stream，由 AWS 用于验证可以发布到我们的日志组。它可以被忽略或删除

我们将看到每个域控制器的一个 IPAddress-SecurityEvents 日志流。如果我们的目录中有 20 个域控制器，我们将看到 20 个日志流。

选择其中一个 IPAddress-SecurityEvents 日志流以查看流的内容：