Questo argomento illustra come abilitare e visualizzare gli audit log di Microsoft Active Directory gestiti per un dominio. Per informazioni su Cloud Audit Logs per Microsoft AD gestito, consulta Audit logging di Microsoft AD gestito.
Abilita gli audit log di Microsoft AD gestiti
Puoi abilitare gli audit log di Microsoft AD gestiti durante la creazione del dominio o aggiornando un dominio esistente.
Al momento della creazione del dominio
Per abilitare gli audit log di Microsoft AD gestito durante la creazione del dominio, esegui il seguente comando gcloud CLI.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Aggiorna dominio esistente
Per aggiornare un dominio e abilitare gli audit log di Microsoft AD gestiti, completa i passaggi riportati di seguito.
Console
- Vai alla pagina Microsoft AD gestito nella console Google Cloud.
Vai alla pagina Microsoft AD gestito - Nell'elenco delle istanze della pagina Microsoft AD gestito, seleziona il dominio in cui vuoi abilitare gli audit log.
- Nella pagina dei dettagli del dominio, seleziona Visualizza audit log, quindi seleziona Configura log dal menu a discesa.
- Nel riquadro Configura audit log, in Attiva/disattiva log, imposta i log su On.
gcloud
Esegui il seguente comando gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Per limitare gli elementi registrati, puoi utilizzare le esclusioni dei log.
Tieni presente che i log archiviati nel tuo progetto sono addebitabili. Scopri di più sui prezzi di Cloud Logging.
Disabilita gli audit log di Microsoft AD gestiti
Per disabilitare gli audit log di Microsoft AD gestito, completa i passaggi seguenti.
Console
- Vai alla pagina Microsoft AD gestito nella console Google Cloud.
Vai alla pagina Microsoft AD gestito - Nell'elenco delle istanze della pagina Microsoft AD gestito, seleziona il dominio in cui vuoi disabilitare gli audit log.
- Nella pagina dei dettagli del dominio, seleziona Visualizza audit log, quindi seleziona Configura log dal menu a discesa.
- Nel riquadro Configura gli audit log, in Attiva/attiva i log, imposta i log su Off.
gcloud
Esegui il seguente comando gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verifica lo stato del logging
Per verificare che il logging sia abilitato o disabilitato, completa i passaggi seguenti ed esegui il seguente comando gcloud CLI.
gcloud active-directory domains describe DOMAIN_NAME
Nella risposta, verifica il valore del campo auditLogsEnabled
.
Visualizza i log
Gli audit log di Microsoft AD gestiti sono disponibili solo per i domini abilitati a raccogliere i log.
Per visualizzare gli audit log di Microsoft AD gestito, devi disporre dell'autorizzazione
roles/logging.viewer
per Identity and Access Management (IAM). Scopri di più su come
concedere le autorizzazioni.
Per visualizzare gli audit log di Microsoft AD gestito per il tuo dominio, completa i passaggi seguenti.
Esplora log
- Vai alla pagina Esplora log nella console Google Cloud.
Vai alla pagina Esplora log In Query Builder, inserisci i valori riportati di seguito.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Per filtrare in base agli ID evento, aggiungi la seguente riga al filtro avanzato.
jsonPayload.ID=EVENT_ID
Seleziona Esegui filtro.
Scopri di più su Esplora log.
Esplora log
- Vai alla pagina Esplora log nella console Google Cloud.
Vai alla pagina Esplora log - Nella casella di testo del filtro, fai clic su e poi seleziona Converti in filtro avanzato.
Nella casella di testo del filtro avanzato, inserisci i seguenti valori.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Per filtrare in base agli ID evento, aggiungi la seguente riga al filtro avanzato.
jsonPayload.ID=EVENT_ID
Seleziona Invia filtro.
Scopri di più su Esplora log.
gcloud
Esegui il seguente comando gcloud CLI.
gcloud logging read FILTER
Dove FILTER è un'espressione per identificare un insieme di voci di log.
Per leggere le voci di log in cartelle, account di fatturazione o organizzazioni, aggiungi i flag --folder
, --billing-account
o --organization
.
Per leggere tutti i log del tuo dominio, puoi eseguire il comando seguente.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Scopri di più sulla lettura delle voci di log con gcloud CLI e sul comando gcloud logging read
.
Interpretare i log
Ogni log_entry
contiene i campi seguenti.
log_name
è il log eventi in cui viene registrato l'evento.provider_name
è il fornitore dell'evento che ha pubblicato questo evento.version
è il numero di versione dell'evento.event_id
è l'identificatore di questo evento.machine_name
è il computer su cui è stato registrato l'evento.xml
è la rappresentazione XML dell'evento. È conforme allo schema degli eventi.message
è una rappresentazione leggibile dell'evento.
ID evento esportati
La tabella seguente mostra gli ID evento esportati.
Categoria di controllo | ID evento |
---|---|
Sicurezza dell'accesso all'account | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
Sicurezza della gestione dell'account | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 738, |
Sicurezza dell'accesso a DS | 4662, 5136, 5137, 5138, 5139, 5141 |
Sicurezza di disconnessione | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
Sicurezza dell'accesso agli oggetti | 4661, 5145 |
Sicurezza delle modifiche ai criteri | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 40, 1, 4, 1, |
Sicurezza dell'utilizzo dei privilegi | 4985 |
Sicurezza del sistema | 4612, 4621 |
Autenticazione NTLM | 8004 |
Se mancano alcuni ID evento e non li vedi elencati nella tabella degli ID evento esportati, puoi utilizzare lo strumento Issue Tracker per segnalare un bug. Utilizza il componente Tracker pubblici > piattaforma Cloud > Identità e sicurezza > Managed Service for Microsoft AD.
Esporta log
Puoi esportare gli audit log di Microsoft AD gestiti in Pub/Sub, BigQuery o Cloud Storage. Scopri come esportare i log in altri servizi Google Cloud.
Puoi anche esportare i log per requisiti di conformità, analisi di sicurezza e accesso e in SIEM esterni come Splunk e Datadog.