Managed Microsoft AD-Audit-Logs verwenden

In diesem Thema wird beschrieben, wie Sie Managed Microsoft AD-Audit-Logs aktivieren und anzeigen. Informationen zu Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logs für Managed Microsoft AD verwenden.

Managed Microsoft AD-Audit-Logging aktivieren

Sie können das Managed Microsoft AD-Audit-Logging während der Domainerstellung oder durch Aktualisieren einer vorhandenen Domain aktivieren.

Bei der Domainerstellung

Führen Sie den folgenden gcloud-tool-Befehl aus, um Managed Microsoft AD-Audit-Logging während der Domainerstellung zu aktivieren.

gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs

Vorhandene Domain aktualisieren

Führen Sie die folgenden Schritte aus, um eine Domain zum Aktivieren von Managed Microsoft AD-Audit-Logging zu aktualisieren.

Console

  1. Öffnen Sie in der Cloud Console die Seite Managed Microsoft AD.
    Zur Seite "Managed Microsoft AD"
  2. Wählen Sie auf der Seite Managed Microsoft AD in der Liste der Instanzen die Domain aus, für die Sie Audit-Logs aktivieren möchten.
  3. Wählen Sie auf der Seite "Domain-Details" die Option Audit-Logs ansehen und dann Logs konfigurieren aus dem Drop-down-Menü aus.
  4. Setzen Sie im Bereich Audit-Logs konfigurieren unter Logs deaktivieren/aktivieren die Logs auf Ein.

gcloud

Führen Sie den folgenden gcloud-Toolbefehl aus.

gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs

Sie können Logausschlüsse verwenden, um das zu beschränken, was in Logs protokolliert wird.

Die in Ihrem Projekt gespeicherten Logs sind kostenpflichtig. Weitere Informationen zu Cloud Logging-Preisen

Managed Microsoft AD-Audit-Logging deaktivieren

Führen Sie die folgenden Schritte aus, um das Managed Microsoft AD-Audit-Logging zu deaktivieren.

Console

  1. Öffnen Sie in der Cloud Console die Seite Managed Microsoft AD.
    Zur Seite "Managed Microsoft AD"
  2. Wählen Sie auf der Seite Managed Microsoft AD in der Liste der Instanzen die Domain aus, für die Sie Audit-Logs deaktivieren möchten.
  3. Wählen Sie auf der Seite "Domain-Details" die Option Audit-Logs ansehen und dann Logs konfigurieren aus dem Drop-down-Menü aus.
  4. Setzen Sie im Bereich Audit-Logs konfigurieren unter Logs deaktivieren/Aktivieren die Logs auf Aus.

gcloud

Führen Sie den folgenden gcloud-Toolbefehl aus.

gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs

Logging-Status prüfen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob das Logging aktiviert oder deaktiviert ist. Führen Sie dazu den folgenden Befehl des gcloud-Tools aus:

gcloud active-directory domains describe DOMAIN_NAME

Prüfen Sie in der Antwort den Wert des Felds auditLogsEnabled.

Logs ansehen

Managed Microsoft AD-Audit-Logs sind nur für Domains verfügbar, die für Logs erfassen aktiviert sind.

Zum Aufrufen von Managed Microsoft AD-Audit-Logs benötigen Sie die IAM-Berechtigung roles/logging.viewer (Identity and Access Management). Siehe Berechtigungen erteilen.

Führen Sie die folgenden Schritte aus, um die Managed Microsoft AD-Audit-Logs für Ihre Domain anzuzeigen.

Log-Explorer

  1. Rufen Sie in der Cloud Console die Seite "Log-Explorer" auf:
    Zur Seite „Log-Explorer“
  2. Geben Sie im Query Builder Folgendes ein:

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Fügen Sie dem erweiterten Filter die folgende Zeile hinzu, um nach Ereignis-IDs zu filtern.

    jsonPayload.ID=EVENT_ID
    
  3. Wählen Sie Filter ausführen aus.

Siehe Log-Explorer.

Loganzeige

  1. Gehen Sie in der Cloud Console zur Seite Loganzeige.
    Rufen Sie die Seite Loganzeige auf:
  2. Klicken Sie im Filtertextfeld auf und wählen Sie dann In erweiterten Filter umwandeln aus.
  3. Geben Sie im Textfeld "Erweiterter Filter" die folgenden Werte ein.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Fügen Sie dem erweiterten Filter die folgende Zeile hinzu, um nach Ereignis-IDs zu filtern.

    jsonPayload.ID=EVENT_ID
    
  4. Wählen Sie Filter senden aus.

Siehe Loganzeige.

gcloud

Führen Sie den folgenden gcloud-Toolbefehl aus.

gcloud logging read FILTER

Dabei ist FILTER ein Ausdruck zur Identifizierung einer Reihe von Logeinträgen. Fügen Sie das Flag --folder, --billing-account oder --organization hinzu, um Logeinträge in Ordnern, Rechnungskonten oder Organisationen zu lesen.

Mit dem folgenden Befehl können Sie alle Logs für Ihre Domain lesen.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

Logeinträge mit dem gcloud-Tool lesen und dem gcloud logging read-Befehl.

Logs interpretieren

Jeder log_entry enthält die folgenden Felder.

  • log_name ist das Ereignislog, in dem dieses Ereignis protokolliert wird.
  • provider_name ist der Ereignisanbieter, der dieses Ereignis veröffentlicht hat.
  • version ist die Versionsnummer für das Ereignis.
  • Die event_id ist die Kennung für dieses Ereignis.
  • machine_name ist der Computer, auf dem das Ereignis in Log protokolliert wurde.
  • xml ist die XML-Darstellung des Ereignisses. Er entspricht dem Ereignisschema.
  • Die message ist die lesbare Darstellung des Ereignisses.

Exportierte Ereignis-IDs

In der folgenden Tabelle sind die Ereignis-IDs aufgeführt, die exportiert werden.

Tabelle 1. Exportierte Ereignis-IDs
Auditkategorie Ereignis-IDs
Sicherheit bei der Kontoanmeldung 4767, 4774, 4775, 4776, 4777
Kontoverwaltungssicherheit 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
DS-Zugriffssicherheit 5136, 5137, 5138, 5139, 5141
Sicherheit für Ab- und Anmeldung 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
Sicherheit bei Richtlinienänderungen 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Berechtigungsnutzungssicherheit 4985
Systemsicherheit 4612, 4621

Wenn Sie feststellen, dass Ereignis-IDs fehlen, und nicht in der Tabelle der exportierten Ereignis-IDs aufgeführt sind, können Sie die Problemverfolgung verwenden, um einen Fehler zu melden. Verwenden Sie die Komponente Öffentliche Tracker > Cloud Platform > Identität und Sicherheit > Managed Service for Microsoft AD.

Export von Logs

Sie können Managed Microsoft AD-Audit-Logs nach Pub/Sub, BigQuery oder Cloud Storage exportieren. Weitere Informationen zum Exportieren von Logs in andere Google Cloud-Dienste

Sie können auch Logs für Folgendes exportieren: Compliance-Anforderungen, Sicherheits- und Zugriffsanalysen und in externen SIEM-Tools wieSplunk, Elasticsearch undDatadog.