ドメインの監査ロギングを設定する

このトピックでは、ドメインのマネージド Microsoft AD 監査ログを有効にして表示する方法について説明します。マネージド Microsoft AD の Cloud Audit Logs については、マネージド Microsoft AD の監査ロギングをご覧ください。

マネージド Microsoft AD の監査ログを有効にする

マネージド Microsoft AD の監査ログは、ドメインの作成時に、または既存のドメインを更新することによって有効にできます。

ドメイン作成時に

ドメイン作成時にマネージド Microsoft AD の監査ログを有効にするには、次の gcloud CLI コマンドを実行します。

gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs

既存のドメインを更新する

ドメインを更新してマネージド Microsoft AD の監査ログを有効にするには、次の手順を行います。

コンソール

  1. Google Cloud コンソールの [Managed Microsoft AD] ページに移動します。
    [マネージド Microsoft AD] ページに移動
  2. [Managed Microsoft AD] ページのインスタンスのリストで、監査ログを有効にするドメインを選択します。
  3. [ドメインの詳細] ページで [監査ログの表示] を選択し、プルダウンから [ログを構成] を選択します。
  4. [監査ログの構成] ペインの [ログをオフ/オンにする] で、ログを [オン] に切り替えます。

gcloud

次の gcloud CLI コマンドを実行します。

gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs

ログに記録する対象を制限するには、ログの除外を使用します。

なお、プロジェクトに保存されるログは課金対象です。詳しくは、Cloud Logging の料金をご覧ください。

マネージド Microsoft AD の監査ログを無効にする

マネージド Microsoft AD の監査ロギングを無効にするには、次の手順を行います。

コンソール

  1. Google Cloud コンソールの [Managed Microsoft AD] ページに移動します。
    [マネージド Microsoft AD] ページに移動
  2. [Managed Microsoft AD] ページのインスタンスのリストで、監査ログを無効にするドメインを選択します。
  3. [ドメインの詳細] ページで [監査ログの表示] を選択し、プルダウンから [ログを構成] を選択します。
  4. [監査ログの構成] ペインの [ログをオフ/オンにする] で、ログを [オフ] に切り替えます。

gcloud

次の gcloud CLI コマンドを実行します。

gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs

ロギングのステータスを確認する

ロギングが有効または無効のいずれの状態であるかを確認するには、次の手順に沿って gcloud CLI コマンドを実行します。

gcloud active-directory domains describe DOMAIN_NAME

レスポンスに含まれる auditLogsEnabled フィールドの値を確認します。

ログを表示

マネージド Microsoft AD の監査ログは、ログの収集が有効になっているドメインでのみ取得できます。

マネージド Microsoft AD の監査ログを表示するには、roles/logging.viewer Identity and Access Management(IAM)の権限を付与されている必要があります。権限の付与について確認します。

ドメインのマネージド Microsoft AD の監査ログを表示するには、次の手順を行います。

ログ エクスプローラ

  1. Google Cloud コンソールの [ログ エクスプローラ] ページに移動します。
    [ログ エクスプローラ] ページに移動
  2. クエリビルダーに、次の値を入力します。

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    イベント ID でフィルタするには、高度なフィルタに次の行を追加します。

    jsonPayload.ID=EVENT_ID
    
  3. [Run Filter] を選択します。

ログ エクスプローラについて確認します。

ログ エクスプローラ

  1. Google Cloud コンソールの [ログ エクスプローラ] ページに移動します。
    [ログ エクスプローラ] ページに移動
  2. フィルタのテキスト ボックスで をクリックし、[高度なフィルタに変換] を選択します。
  3. 高度なフィルタのテキスト ボックスに、次の値を入力します。

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    イベント ID でフィルタするには、高度なフィルタに次の行を追加します。

    jsonPayload.ID=EVENT_ID
    
  4. [フィルタを送信] を選択します。

ログ エクスプローラについて確認します。

gcloud

次の gcloud CLI コマンドを実行します。

gcloud logging read FILTER

FILTER は一連のログエントリを識別する式です。フォルダ、請求先アカウント、または組織内のログエントリを読み取るには、--folder--billing-account、または --organization のフラグを追加します。

ドメインのすべてのログを読み取るには、次のコマンドを実行します。

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

gcloud CLI を使用したログエントリの読み取りgcloud logging read コマンドを使用した読み取りについて確認します。

ログを解釈する

log_entry には次のフィールドがあります。

  • log_name は、このイベントのログが記録されるイベントログです。
  • provider_name は、このイベントを公開したイベント プロバイダです。
  • version は、イベントのバージョン番号です。
  • event_id は、このイベントの識別子です。
  • machine_name は、このイベントのログが記録されたパソコンです。
  • xml は、イベントの XML 表現です。イベント スキーマに準拠しています。
  • message は人が読める形式のイベントの表現です。

エクスポートされたイベント ID

エクスポートされたイベント ID を次の表に示します。

表 1. エクスポートされたイベント ID
監査のカテゴリ イベント ID
アカウント ログオンのセキュリティ 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777
アカウント管理のセキュリティ 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
DS アクセスのセキュリティ 4662, 5136, 5137, 5138, 5139, 5141
ログオンとログオフのセキュリティ 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964
オブジェクト アクセスのセキュリティ 4661, 5145
ポリシー変更のセキュリティ 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
権限の使用に関するセキュリティ 4985
システム セキュリティ 4612, 4621
NTLM 認証 8004

いずれかのイベント ID が欠落しており、エクスポートされたイベント ID テーブルに表示されない場合は、Issue Tracker を使用してバグを報告できます。Public Trackers > Cloud Platform > Identity&Security > Managed Service for Microsoft AD のコンポーネントを使用します。

ログをエクスポートする

マネージド Microsoft AD の監査ログを Pub/Sub、BigQuery、または Cloud Storage にエクスポートできます。他の Google Cloud サービスにログをエクスポートする方法を確認します。

コンプライアンス要件のログ、セキュリティとアクセス分析のログを外部にエクスポートすることもできます。

Splunk や Datadog などの SIEM。