Topik ini menunjukkan cara mengaktifkan dan melihat log audit Managed Microsoft AD untuk domain. Untuk informasi tentang Cloud Audit Logs untuk Microsoft AD Terkelola, lihat Logging audit Microsoft AD Terkelola.
Mengaktifkan log audit Microsoft AD Terkelola
Anda dapat mengaktifkan log audit Microsoft AD Terkelola selama pembuatan domain atau dengan memperbarui domain yang ada.
Saat pembuatan domain
Untuk mengaktifkan log audit Microsoft AD Terkelola selama pembuatan domain, jalankan perintah gcloud CLI berikut.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Memperbarui domain yang ada
Untuk mengupdate domain guna mengaktifkan log audit Microsoft AD Terkelola, selesaikan langkah-langkah berikut.
Konsol
- Buka halaman Managed Microsoft AD di konsol Google Cloud.
Buka halaman Microsoft AD Terkelola - Di halaman Managed Microsoft AD, dalam daftar instance, pilih domain tempat Anda ingin mengaktifkan log audit.
- Di halaman detail domain, pilih Lihat log audit, lalu pilih Konfigurasikan log dari dropdown.
- Di panel Configure audit logs, pada bagian Turn off/on logs, alihkan log ke On.
gcloud
Jalankan perintah gcloud CLI berikut.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Untuk membatasi apa yang dicatat ke dalam log, Anda dapat menggunakan pengecualian log.
Perhatikan bahwa log yang disimpan di project Anda dikenai biaya. Pelajari harga untuk Cloud Logging lebih lanjut.
Menonaktifkan log audit Microsoft AD Terkelola
Untuk menonaktifkan log audit Managed Microsoft AD, selesaikan langkah-langkah berikut.
Konsol
- Buka halaman Managed Microsoft AD di konsol Google Cloud.
Buka halaman Microsoft AD Terkelola - Di halaman Managed Microsoft AD, dalam daftar instance, pilih domain tempat Anda ingin menonaktifkan log audit.
- Di halaman detail domain, pilih Lihat log audit, lalu pilih Konfigurasikan log dari dropdown.
- Di panel Configure audit logs, pada bagian Turn off/on logs, alihkan log ke Nonaktif.
gcloud
Jalankan perintah gcloud CLI berikut.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Memverifikasi status logging
Untuk memverifikasi bahwa logging diaktifkan atau dinonaktifkan, selesaikan langkah-langkah berikut, jalankan perintah gcloud CLI berikut.
gcloud active-directory domains describe DOMAIN_NAME
Dalam respons, verifikasi nilai kolom auditLogsEnabled.
Lihat log
Log audit Microsoft AD Terkelola hanya tersedia untuk domain yang diaktifkan untuk mengumpulkan log.
Untuk melihat log audit Managed Microsoft AD, Anda harus memiliki izin Identity and Access Management (IAM) roles/logging.viewer. Pelajari cara
memberikan izin.
Untuk melihat log audit Microsoft AD Terkelola untuk domain Anda, selesaikan langkah-langkah berikut.
Logs Explorer
- Buka halaman Logs Explorer di konsol Google Cloud.
Buka halaman Logs Explorer Di Query Builder, masukkan nilai berikut.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Untuk memfilter menurut ID peristiwa, tambahkan baris berikut ke filter lanjutan Anda.
jsonPayload.ID=EVENT_ID
Pilih Run Filter.
Pelajari Logs Explorer.
Logs Explorer
- Buka halaman Logs Explorer di konsol Google Cloud.
Buka halaman Logs Explorer - Di kotak teks filter, klik , lalu pilih Konversikan ke filter lanjutan.
Di kotak teks filter lanjutan, masukkan nilai berikut.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Untuk memfilter menurut ID peristiwa, tambahkan baris berikut ke filter lanjutan Anda.
jsonPayload.ID=EVENT_ID
Pilih Kirim Filter.
Pelajari Logs Explorer.
gcloud
Jalankan perintah gcloud CLI berikut.
gcloud logging read FILTER
Dengan FILTER adalah ekspresi untuk mengidentifikasi kumpulan entri log.
Untuk membaca entri log di folder, akun penagihan, atau organisasi, tambahkan flag --folder, --billing-account, atau --organization.
Untuk membaca semua log untuk domain Anda, Anda dapat menjalankan perintah berikut.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Pelajari cara membaca entri log dengan gcloud CLI dan perintah gcloud logging read.
Menafsirkan log
Setiap log_entry berisi kolom berikut.
log_nameadalah log peristiwa tempat peristiwa ini dicatat.provider_nameadalah penyedia peristiwa yang memublikasikan peristiwa ini.versionadalah nomor versi untuk peristiwa.event_idadalah ID untuk peristiwa ini.machine_nameadalah komputer tempat peristiwa ini dicatat.xmladalah representasi XML peristiwa. Hal ini sesuai dengan skema peristiwa.messageadalah representasi peristiwa yang dapat dibaca manusia.
ID peristiwa yang diekspor
Tabel berikut menunjukkan ID peristiwa yang diekspor.
| Kategori audit | ID Peristiwa |
|---|---|
| Keamanan login akun | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Keamanan pengelolaan akun | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Keamanan akses DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Keamanan login-logout | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Keamanan akses objek | 4661, 5145 |
| Keamanan perubahan kebijakan | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Keamanan penggunaan hak istimewa | 4985 |
| Keamanan sistem | 4612, 4621 |
| Autentikasi NTLM | 8004 |
Jika Anda menemukan ID peristiwa yang tidak ada dan tidak melihatnya tercantum dalam tabel ID Peristiwa yang Diekspor, Anda dapat menggunakan Issue Tracker untuk melaporkan bug. Gunakan komponen Pelacak Publik > Cloud Platform > Identity & Security > Managed Service for Microsoft AD.
Ekspor log
Anda dapat mengekspor log audit Managed Microsoft AD ke Pub/Sub, BigQuery, atau Cloud Storage. Pelajari cara mengekspor log ke layanan Google Cloud lainnya.
Anda juga dapat mengekspor log untuk persyaratan kepatuhan, analisis keamanan dan akses, serta ke
SIEM seperti Splunk dan Datadog.