Questo argomento spiega come attivare e visualizzare i log di controllo di Microsoft Active Directory gestito per un dominio. Per informazioni su Cloud Audit Logs per Managed Microsoft AD, consulta Log di controllo di Microsoft AD gestito.
Attivare gli audit log di Microsoft Active Directory gestito
Puoi abilitare gli audit log di Microsoft Active Directory gestiti durante la creazione del dominio o aggiornare un dominio esistente.
Al momento della creazione del dominio
Per abilitare gli audit log di Microsoft Active Directory gestiti durante la creazione del dominio, esegui seguendo il comando gcloud CLI.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Aggiorna dominio esistente
Per aggiornare un dominio in modo da abilitare gli audit log di Microsoft Active Directory gestito, completa il i seguenti passaggi.
Console
- Vai a Managed Microsoft AD
nella console Google Cloud.
Vai alla pagina Microsoft Active Directory gestito - Nella pagina Managed Microsoft AD, nell'elenco delle istanze, seleziona il dominio in cui vuoi abilitare gli audit log.
- Nella pagina dei dettagli del dominio, seleziona Visualizza log di controllo, quindi seleziona Configura i log dal menu a discesa.
- Nel riquadro Configura log di controllo, in Disattiva/attiva i log, Imposta i log su On.
gcloud
Esegui il seguente comando della gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Per limitare i dati registrati, puoi utilizzare esclusioni di log.
Tieni presente che i log archiviati nel tuo progetto sono soggetti a pagamento. Scopri di più su prezzi per Cloud Logging.
Disabilita gli audit log di Microsoft Active Directory gestiti
Per disabilitare gli audit log gestiti di Microsoft AD, completa i seguenti passaggi.
Console
- Vai a Managed Microsoft AD
nella console Google Cloud.
Vai alla pagina Managed Microsoft AD - Nella pagina Managed Microsoft AD, nell'elenco delle istanze, seleziona il dominio in cui vuoi disabilitare gli audit log.
- Nella pagina dei dettagli del dominio, seleziona Visualizza log di controllo, quindi seleziona Configura i log dal menu a discesa.
- Nel riquadro Configura gli audit log, in Disattiva/attiva i log, imposta i log su Off.
gcloud
Esegui il seguente comando della gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verifica lo stato del logging
Per verificare che il logging sia abilitato o disabilitato, completa i seguenti passaggi ed esegui il seguente comando gcloud CLI.
gcloud active-directory domains describe DOMAIN_NAME
Nella risposta, verifica il valore del campo auditLogsEnabled.
Visualizza i log
Gli audit log di Microsoft AD gestiti sono disponibili solo per i domini abilitato per la raccolta dei log.
Per visualizzare gli audit log di Microsoft Active Directory gestito, è necessario disporre del
roles/logging.viewer Autorizzazione Identity and Access Management (IAM). Informazioni su
concedere autorizzazioni.
Per visualizzare i log di controllo di Microsoft AD gestito per il tuo dominio, completa i seguenti passaggi.
Esplora log
- Vai alla sezione
Esplora log
nella console Google Cloud.
Vai alla pagina Esplora log In Query Builder, inserisci i seguenti valori.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Per filtrare in base agli ID evento, aggiungi la seguente riga al filtro avanzato.
jsonPayload.ID=EVENT_ID
Seleziona Esegui filtro.
Scopri di più su Esplora log.
Esplora log
- Vai alla pagina Esplora log nella console Google Cloud.
Vai alla pagina Esplora log - Nella casella di testo del filtro, fai clic su . e poi seleziona Converti in filtro avanzato.
Nella casella di testo del filtro avanzato, inserisci i seguenti valori.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Per filtrare in base agli ID evento, aggiungi la seguente riga al filtro avanzato.
jsonPayload.ID=EVENT_ID
Seleziona Invia filtro.
Scopri di più su Esplora log.
gcloud
Esegui il seguente comando gcloud CLI.
gcloud logging read FILTER
Dove FILTER è un'espressione per identificare un insieme di voci di log.
Per leggere le voci di log nelle cartelle, negli account di fatturazione o nelle organizzazioni, aggiungi
Flag --folder, --billing-account o --organization.
Per leggere tutti i log per il tuo dominio, puoi eseguire questo comando.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Informazioni su
leggi le voci di log con gcloud CLI
e il comando gcloud logging read.
Interpretare i log
Ogni log_entry contiene i seguenti campi.
log_nameè il log eventi in cui viene registrato l'evento.provider_nameè il fornitore di eventi che ha pubblicato questo evento.versionè il numero di versione dell'evento.event_idè l'identificatore di questo evento.machine_nameè il computer su cui è stato registrato questo evento.xmlè la rappresentazione XML dell'evento. È conforme allo schema degli eventi.messageè una rappresentazione leggibile dell'evento.
ID eventi esportati
La tabella seguente mostra gli ID evento esportati.
| Categoria di audit | ID evento |
|---|---|
| Sicurezza dell'accesso all'account | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Sicurezza della gestione dell'account | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Sicurezza dell'accesso a DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Sicurezza dopo l'uscita dall'account | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Sicurezza dell'accesso agli oggetti | 4661, 5145 |
| Sicurezza della modifica dei criteri | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Sicurezza per l'utilizzo dei privilegi | 4985 |
| Sicurezza del sistema | 4612, 4621 |
| Autenticazione NTLM | 8004 |
Se mancano ID evento e non li trovi elencati nella tabella ID evento esportati, puoi utilizzare il tracker dei problemi per segnalare un bug. Utilizza il componente Tracker pubblici > Piattaforma cloud > Identità e sicurezza > Servizio gestito per Microsoft AD.
Esporta log
Puoi esportare gli audit log di Microsoft Active Directory gestito in in Pub/Sub, BigQuery o Cloud Storage. Impara come esportare i log in altri servizi Google Cloud.
Puoi anche esportare i log per i requisiti di conformità, le analisi di sicurezza e accesso e
SIEM come Splunk e Datadog.