このトピックでは、ドメインのマネージド Microsoft AD 監査ログを有効にして表示する方法について説明します。マネージド Microsoft AD の Cloud Audit Logs については、マネージド Microsoft AD の監査ロギングをご覧ください。
マネージド Microsoft AD の監査ログを有効にする
マネージド Microsoft AD の監査ログは、ドメインの作成時に、または既存のドメインを更新することによって有効にできます。
ドメイン作成時に
ドメイン作成時にマネージド Microsoft AD の監査ログを有効にするには、次の gcloud CLI コマンドを実行します。
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
既存のドメインを更新する
ドメインを更新してマネージド Microsoft AD の監査ログを有効にするには、次の手順を行います。
コンソール
- Google Cloud コンソールの [Managed Microsoft AD] ページに移動します。
[マネージド Microsoft AD] ページに移動 - [Managed Microsoft AD] ページのインスタンスのリストで、監査ログを有効にするドメインを選択します。
- [ドメインの詳細] ページで [監査ログの表示] を選択し、プルダウンから [ログを構成] を選択します。
- [監査ログの構成] ペインの [ログをオフ/オンにする] で、ログを [オン] に切り替えます。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
ログに記録する対象を制限するには、ログの除外を使用します。
なお、プロジェクトに保存されるログは課金対象です。詳しくは、Cloud Logging の料金をご覧ください。
マネージド Microsoft AD の監査ログを無効にする
マネージド Microsoft AD の監査ロギングを無効にするには、次の手順を行います。
コンソール
- Google Cloud コンソールの [Managed Microsoft AD] ページに移動します。
[マネージド Microsoft AD] ページに移動 - [Managed Microsoft AD] ページのインスタンスのリストで、監査ログを無効にするドメインを選択します。
- [ドメインの詳細] ページで [監査ログの表示] を選択し、プルダウンから [ログを構成] を選択します。
- [監査ログの構成] ペインの [ログをオフ/オンにする] で、ログを [オフ] に切り替えます。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
ロギングのステータスを確認する
ロギングが有効または無効のいずれの状態であるかを確認するには、次の手順に沿って gcloud CLI コマンドを実行します。
gcloud active-directory domains describe DOMAIN_NAME
レスポンスに含まれる auditLogsEnabled フィールドの値を確認します。
ログを表示
マネージド Microsoft AD の監査ログは、ログの収集が有効になっているドメインでのみ取得できます。
マネージド Microsoft AD の監査ログを表示するには、roles/logging.viewer Identity and Access Management(IAM)の権限を付与されている必要があります。権限の付与について確認します。
ドメインのマネージド Microsoft AD の監査ログを表示するには、次の手順を行います。
ログ エクスプローラ
- Google Cloud コンソールの [ログ エクスプローラ] ページに移動します。
[ログ エクスプローラ] ページに移動 クエリビルダーに、次の値を入力します。
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
イベント ID でフィルタするには、高度なフィルタに次の行を追加します。
jsonPayload.ID=EVENT_ID
[Run Filter] を選択します。
ログ エクスプローラについて確認します。
ログ エクスプローラ
- Google Cloud コンソールの [ログ エクスプローラ] ページに移動します。
[ログ エクスプローラ] ページに移動 - フィルタのテキスト ボックスで をクリックし、[高度なフィルタに変換] を選択します。
高度なフィルタのテキスト ボックスに、次の値を入力します。
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
イベント ID でフィルタするには、高度なフィルタに次の行を追加します。
jsonPayload.ID=EVENT_ID
[フィルタを送信] を選択します。
ログ エクスプローラについて確認します。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud logging read FILTER
FILTER は一連のログエントリを識別する式です。フォルダ、請求先アカウント、または組織内のログエントリを読み取るには、--folder、--billing-account、または --organization のフラグを追加します。
ドメインのすべてのログを読み取るには、次のコマンドを実行します。
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
gcloud CLI を使用したログエントリの読み取りと gcloud logging read コマンドを使用した読み取りについて確認します。
ログを解釈する
各 log_entry には次のフィールドがあります。
log_nameは、このイベントのログが記録されるイベントログです。provider_nameは、このイベントを公開したイベント プロバイダです。versionは、イベントのバージョン番号です。event_idは、このイベントの識別子です。machine_nameは、このイベントのログが記録されたパソコンです。xmlは、イベントの XML 表現です。イベント スキーマに準拠しています。messageは人が読める形式のイベントの表現です。
エクスポートされたイベント ID
エクスポートされたイベント ID を次の表に示します。
| 監査のカテゴリ | イベント ID |
|---|---|
| アカウント ログオンのセキュリティ | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| アカウント管理のセキュリティ | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| DS アクセスのセキュリティ | 4662, 5136, 5137, 5138, 5139, 5141 |
| ログオンとログオフのセキュリティ | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| オブジェクト アクセスのセキュリティ | 4661, 5145 |
| ポリシー変更のセキュリティ | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| 権限の使用に関するセキュリティ | 4985 |
| システム セキュリティ | 4612, 4621 |
| NTLM 認証 | 8004 |
いずれかのイベント ID が欠落しており、エクスポートされたイベント ID テーブルに表示されない場合は、Issue Tracker を使用してバグを報告できます。Public Trackers > Cloud Platform > Identity&Security > Managed Service for Microsoft AD のコンポーネントを使用します。
ログをエクスポートする
マネージド Microsoft AD の監査ログを Pub/Sub、BigQuery、または Cloud Storage にエクスポートできます。他の Google Cloud サービスにログをエクスポートする方法を確認します。
コンプライアンス要件のログ、セキュリティとアクセス分析のログを外部にエクスポートすることもできます。
Splunk や Datadog などの SIEM。