Active Directory Domain Services (AD DS)

Los servicios de dominio de Active Directory (AD DS) almacenan información sobre los objetos de la red para que los administradores y los usuarios puedan acceder fácilmente a ella.

Para obtener más información sobre AD DS, consulta la documentación de Active Directory Domain Services (AD DS).

Requisitos previos

Para recoger la telemetría de AD DS, debes instalar el agente de operaciones:

  • Para las métricas, instala la versión 2.15.0 o una posterior.
  • Para los registros, instala la versión 2.15.0 o una posterior.

Esta integración es compatible con las versiones windows-server-2016 y windows-server-2019 de AD DS.

Configurar la instancia de AD DS

De forma predeterminada, los registros de eventos de Windows de Active Directory y los contadores de rendimiento están habilitados.

Configurar el agente de operaciones para AD DS

Sigue la guía para configurar el agente de operaciones, añade los elementos necesarios para recoger telemetría de las instancias de AD DS y reinicia el agente.

Configuración de ejemplo

Los siguientes comandos crean la configuración para recoger e ingerir telemetría de AD DS:

$ErrorActionPreference = 'Stop'

# Create an empty config.yaml file if it doesn't exist.
$configFilePath  = 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml'

if (-not (Test-Path -Path $configFilePath -PathType Leaf)) {
    New-Item -ItemType File -Path $configFilePath -Force | Out-Null
}

# Create a back up of the existing file so existing configurations are not lost.
Copy-Item -Path 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' -Destination 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml.bak'

# Configure the Ops Agent.
Add-Content 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' "
logging:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds

metrics:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds
"

if (Get-Service google-cloud-ops-agent* -ErrorAction SilentlyContinue) {
  (Get-Service google-cloud-ops-agent*).WaitForStatus('Running', '00:03:00')
}

Para que estos cambios se apliquen, debes reiniciar el agente de Ops:

  1. Conéctate a tu instancia mediante RDP o una herramienta similar e inicia sesión en Windows.
  2. Abre un terminal de PowerShell con privilegios de administrador haciendo clic con el botón derecho en el icono de PowerShell y seleccionando Ejecutar como administrador.
  3. Para reiniciar el agente, ejecuta el siguiente comando de PowerShell: 
    Restart-Service google-cloud-ops-agent -Force
  4. Para confirmar que el agente se ha reiniciado, ejecuta el siguiente comando y verifica que los componentes "Metrics Agent" y "Logging Agent" se han iniciado: 
    Get-Service google-cloud-ops-agent*

Configurar la recogida de registros

Para ingerir registros de AD DS, debes crear un receptor para los registros que genera AD DS y, a continuación, crear una canalización para el nuevo receptor.

Para configurar un receptor de tus registros active_directory_ds, especifica los siguientes campos:

Campo Predeterminado Descripción
type El valor debe ser active_directory_ds.

Qué se registra

El logName se deriva de los IDs de receptor especificados en la configuración. Los campos detallados de LogEntry son los siguientes.

Los registros de active_directory_ds contienen los siguientes campos en LogEntry:

Campo Tipo Descripción
jsonPayload.Channel cadena El canal del registro de eventos en el que se registró el registro.
jsonPayload.ComputerName cadena El nombre del ordenador desde el que se origina este registro.
jsonPayload.Data cadena Datos adicionales específicos del evento incluidos en el registro.
jsonPayload.EventCategory número Categoría del evento.
jsonPayload.EventID número ID que identifica el tipo de evento.
jsonPayload.EventType cadena El tipo de evento.
jsonPayload.Message cadena El mensaje de registro.
jsonPayload.Qualifiers número Número de calificador que se usa para identificar el evento.
jsonPayload.RecordNumber número Número de secuencia del registro de eventos.
jsonPayload.Sid cadena El identificador de seguridad que identifica una entidad de seguridad o un grupo de seguridad del proceso que ha registrado este mensaje.
jsonPayload.SourceName cadena El componente de origen que ha registrado este mensaje.
jsonPayload.StringInserts []string Datos de cadena dinámica que se han usado para crear el mensaje de registro.
jsonPayload.TimeGenerated cadena Marca de tiempo que representa el momento en el que se generó el registro.
jsonPayload.TimeWritten cadena Marca de tiempo que representa el momento en el que se escribió el registro en el registro de eventos.
severity cadena (LogSeverity) Nivel de entrada de registro (traducido).

Configurar recogida de métricas

Para ingerir métricas de AD DS, debe crear un receptor para las métricas que genera AD DS y, a continuación, crear una canalización para el nuevo receptor.

Este receptor no admite el uso de varias instancias en la configuración, por ejemplo, para monitorizar varios endpoints. Todas estas instancias escriben en la misma serie temporal y Cloud Monitoring no tiene forma de distinguirlas.

Para configurar un receptor de sus métricas de active_directory_ds, especifique los siguientes campos:

Campo Predeterminado Descripción
collection_interval 60s Un valor de duración, como 30s o 5m.
type El valor debe ser active_directory_ds.

Qué se monitoriza

En la siguiente tabla se muestra la lista de métricas que recoge el agente de operaciones de la instancia de AD DS.

Tipo de métrica 
Tipo
Recursos monitorizados		 Etiquetas
workload.googleapis.com/active_directory.ds.bind.rate
GAUGEDOUBLE
gce_instance 		type
workload.googleapis.com/active_directory.ds.ldap.bind.last_successful.time
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.ldap.bind.rate
GAUGEDOUBLE
gce_instance 		 
workload.googleapis.com/active_directory.ds.ldap.client.session.count
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.ldap.search.rate
GAUGEDOUBLE
gce_instance 		 
workload.googleapis.com/active_directory.ds.name_cache.hit_rate
GAUGEDOUBLE
gce_instance 		 
workload.googleapis.com/active_directory.ds.notification.queued
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.operation.rate
GAUGEDOUBLE
gce_instance 		type
workload.googleapis.com/active_directory.ds.replication.network.io
CUMULATIVEINT64
gce_instance 		direction
type
workload.googleapis.com/active_directory.ds.replication.object.rate
GAUGEDOUBLE
gce_instance 		direction
workload.googleapis.com/active_directory.ds.replication.operation.pending
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.replication.property.rate
GAUGEDOUBLE
gce_instance 		direction
workload.googleapis.com/active_directory.ds.replication.sync.object.pending
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.replication.sync.request.count
CUMULATIVEINT64
gce_instance 		result
workload.googleapis.com/active_directory.ds.replication.value.rate
GAUGEDOUBLE
gce_instance 		direction
type
workload.googleapis.com/active_directory.ds.security_descriptor_propagations_event.queued
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.suboperation.rate
GAUGEDOUBLE
gce_instance 		type
workload.googleapis.com/active_directory.ds.thread.count
GAUGEINT64
gce_instance 		 

Verificar la configuración

En esta sección se describe cómo verificar que ha configurado correctamente el receptor de AD DS. El agente de Ops puede tardar uno o dos minutos en empezar a recoger datos de telemetría.

Para verificar que los registros de AD DS se envían a Cloud Logging, haz lo siguiente:

  1. En la Google Cloud consola, ve a la página Explorador de registros:

    Ve al Explorador de registros.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.

  2. Introduce la siguiente consulta en el editor y haz clic en Ejecutar consulta: 
    resource.type="gce_instance"
log_id("active_directory_ds")

Para verificar que las métricas de AD DS se envían a Cloud Monitoring, haz lo siguiente:

  1. En la Google Cloud consola, ve a la página  Explorador de métricas:

    Ve al explorador de métricas.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

  2. En la barra de herramientas del panel de creación de consultas, selecciona el botón cuyo nombre sea  MQL o  PromQL.
  3. Verifica que PromQL esté seleccionado en el interruptor Idioma. El interruptor de idioma se encuentra en la misma barra de herramientas que te permite dar formato a tu consulta.
  4. Introduce la siguiente consulta en el editor y haz clic en Ejecutar consulta: 
    {"workload.googleapis.com/active_directory.ds.bind.rate", monitored_resource="gce_instance"}

Ver panel de control

Para ver las métricas de AD DS, debe tener configurado un gráfico o un panel de control. La integración de AD DS incluye uno o varios paneles de control. Los paneles de control se instalan automáticamente después de configurar la integración y cuando el agente de Ops ha empezado a recoger datos de métricas.

También puedes ver vistas previas estáticas de los paneles de control sin instalar la integración.

Para ver un panel de control instalado, siga estos pasos:

  1. En la Google Cloud consola, ve a la página  Paneles de control:

    Ve a Paneles.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

  2. Seleccione la pestaña Lista de paneles de control y, a continuación, elija la categoría Integraciones.
  3. Haga clic en el nombre del panel de control que quiera ver.

Si has configurado una integración, pero el panel de control no se ha instalado, comprueba que el agente de operaciones se esté ejecutando. Si no hay datos de métricas para un gráfico del panel de control, no se podrá instalar el panel. Una vez que el agente de Ops empiece a recoger métricas, se instalará el panel de control.

Para ver una vista previa estática del panel de control, siga estos pasos:

  1. En la Google Cloud consola, ve a la página  Integraciones:

    Ve a Integraciones.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

  2. Haz clic en el filtro de plataforma de implementación Compute Engine.
  3. Busca la entrada de AD DS y haz clic en Ver detalles.
  4. Seleccione la pestaña Paneles para ver una vista previa estática. Si el panel de control está instalado, puedes acceder a él haciendo clic en Ver panel de control.

Para obtener más información sobre los paneles de control de Cloud Monitoring, consulta Paneles de control y gráficos.

Para obtener más información sobre cómo usar la página Integraciones, consulta el artículo Gestionar integraciones.

Instalar políticas de alertas

Las políticas de alertas indican a Cloud Monitoring que te envíe una notificación cuando se produzcan las condiciones especificadas. La integración de AD DS incluye una o varias políticas de alertas que puedes usar. Puedes ver e instalar estas políticas de alertas desde la página Integraciones de Monitoring.

Para ver las descripciones de las políticas de alertas disponibles e instalarlas, haz lo siguiente:

  1. En la Google Cloud consola, ve a la página  Integraciones:

    Ve a Integraciones.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

  2. Busca la entrada de AD DS y haz clic en Ver detalles.
  3. Selecciona la pestaña Alertas. En esta pestaña se ofrecen descripciones de las políticas de alertas disponibles y se proporciona una interfaz para instalarlas.
  4. Instala las políticas de alertas. Las políticas de alertas necesitan saber dónde enviar las notificaciones de que se ha activado una alerta, por lo que requieren información para la instalación. Para instalar políticas de alertas, haz lo siguiente:
    1. En la lista de políticas de alertas disponibles, selecciona las que quieras instalar.

    2. En la sección Configurar notificaciones, selecciona uno o varios canales de notificación. Puedes inhabilitar el uso de canales de notificación, pero si lo haces, tus políticas de alertas se activarán de forma silenciosa. Puedes consultar su estado en Monitorización, pero no recibirás ninguna notificación.

      Para obtener más información sobre los canales de notificación, consulta el artículo Gestionar canales de notificación.

    3. Haz clic en Crear políticas.

Para obtener más información sobre las políticas de alertas en Cloud Monitoring, consulta la introducción a las alertas.

Para obtener más información sobre cómo usar la página Integraciones, consulta el artículo Gestionar integraciones.

Siguientes pasos

Para ver una guía sobre cómo usar Ansible para instalar el Agente de operaciones, configurar una aplicación de terceros e instalar un panel de control de ejemplo, consulta el vídeo Instalar el Agente de operaciones para solucionar problemas con aplicaciones de terceros.