Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Managed Microsoft AD-Audit-Logs verwenden

In diesem Thema erfahren Sie, wie Sie verwaltete Microsoft AD-Audit-Logs aktivieren und aufrufen. Weitere Informationen zu Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logs für verwaltete Microsoft AD verwenden.

Managed Microsoft AD-Audit-Logging aktivieren

Sie können das verwaltete Microsoft AD-Audit-Logging während der Domainerstellung aktivieren oder eine vorhandene Domain aktualisieren.

Bei Erstellung der Domain

Führen Sie den folgenden gcloud-Toolbefehl aus, um das verwaltete Microsoft AD-Audit-Logging während der Domainerstellung zu aktivieren.

gcloud beta active-directory domains create DOMAIN_NAME --enable-audit-logs

Bestehende Domain aktualisieren

Führen Sie den folgenden Befehl des gcloud-Tools aus, um eine Domain zu aktualisieren und das verwaltete Microsoft AD-Audit-Logging zu aktivieren.

gcloud beta active-directory domains update DOMAIN_NAME --enable-audit-logs

Wenn Sie festlegen möchten, was in Logs erfasst wird, können Sie Logausschlüsse verwenden.

Beachten Sie, dass in Ihrem Projekt gespeicherte Logs kostenpflichtig sind. Weitere Informationen finden Sie unter Preise für Cloud Logging.

Managed Microsoft AD-Audit-Logging deaktivieren

Führen Sie den folgenden gcloud-Toolbefehl aus, um Managed Microsoft AD-Audit-Logging zu deaktivieren.

gcloud beta active-directory domains update DOMAIN_NAME --no-enable-audit-logs

Logging-Status prüfen

Prüfen Sie mit dem folgenden gcloud-Tool, ob das Logging aktiviert oder deaktiviert ist.

gcloud beta active-directory domains describe DOMAIN_NAME

Prüfen Sie in der Antwort den Wert des Felds auditLogsEnabled.

Logs ansehen

Verwaltete Microsoft AD-Audit-Logs sind nur für Domains verfügbar, für die das Erfassen von Logs aktiviert ist.

Sie benötigen die Berechtigung roles/logging.viewer für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), um Managed Microsoft AD-Audit-Logs aufzurufen. Hier erfahren Sie, wie Sie Berechtigungen erteilen.

Führen Sie die folgenden Schritte aus, um die Managed Microsoft AD-Audit-Logs für Ihre Domain aufzurufen.

Log-Explorer

  1. Rufen Sie in der Cloud Console die Seite Logs Explorer auf.
    Zur Seite "Logs Explorer"
  2. Geben Sie im Query Builder die folgenden Werte ein.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Um nach Ereignis-IDs zu filtern, fügen Sie Ihrem erweiterten Filter die folgende Zeile hinzu.

    jsonPayload.ID=EVENT_ID
    
  3. Wählen Sie Filter ausführen aus.

Mehr über den Log-Explorer erfahren

Loganzeige

  1. Rufen Sie in der Cloud Console die Seite Loganzeige auf.
    Zur Seite "Loganzeige"
  2. Klicken Sie im Filtertextfeld auf und wählen Sie dann In erweiterten Filter umwandeln aus.
  3. Geben Sie in das Textfeld für den erweiterten Filter die folgenden Werte ein.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Um nach Ereignis-IDs zu filtern, fügen Sie Ihrem erweiterten Filter die folgende Zeile hinzu.

    jsonPayload.ID=EVENT_ID
    
  4. Wählen Sie Filter senden aus.

Loganzeige

gcloud

Führen Sie den folgenden gcloud-Toolbefehl aus.

gcloud logging read FILTER

Dabei ist FILTER ein Ausdruck zur Angabe einer Gruppe von Logeinträgen. Fügen Sie die Flags --folder, --billing-account oder --organization hinzu, um Logeinträge in Ordnern, Rechnungskonten oder Organisationen zu lesen.

Führen Sie den folgenden Befehl aus, um alle Logs für Ihre Domain zu lesen.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

Weitere Informationen zum Lesen von Logeinträgen mit dem gcloud-Tool und dem Befehl gcloud logging read.

Logs interpretieren

Jeder log_entry enthält die folgenden Felder.

  • log_name ist das Ereignisprotokoll, in dem dieses Ereignis protokolliert wird.
  • Der provider_name ist der Veranstaltungsanbieter, der dieses Ereignis veröffentlicht hat.
  • version ist die Versionsnummer für das Ereignis.
  • Die event_id ist die ID für dieses Ereignis.
  • Der machine_name ist der Computer, auf dem dieses Ereignis protokolliert wurde.
  • Die xml ist die XML-Darstellung des Ereignisses. Es entspricht dem Ereignisschema.
  • message ist eine von Menschen lesbare Darstellung des Ereignisses.

Exportierte Ereignis-IDs

In der folgenden Tabelle sind die exportierten Ereignis-IDs aufgeführt.

Tabelle 1. Exportierte Ereignis-IDs
Prüfkategorie Ereignis-IDs
Sicherheit des Kontos 4767, 4774, 4775, 4776, 4777
Sicherheit der Kontoverwaltung 4720, 472, 4723, 72424, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 473, 47373, 4737, 4738, 4740, 4741, 7442, 4743, 4754, 4755, 4756 , 4577, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 479, 5376, 5377
DS-Zugriffssicherheit 5136, 5137, 5138, 5139, 5141
Sicherheit als Logo 4624, 4625, 4634, 4647, 4648, 4672, 4675, 964
Sicherheit der Richtlinienänderung 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4490, 4906, 4911, 4912
Sicherheitsberechtigung für Sicherheit 4985
Systemsicherheit 4612, 4621

Falls Ereignis-IDs fehlen und sie nicht in der Tabelle der exportierten Ereignis-IDs aufgeführt werden, verwenden Sie die Problemverfolgung{101. }, um einen Programmfehler zu melden. Verwenden Sie die Komponente Public Trackers > Cloud Platform > Identity & Security > Managed Service for Microsoft AD (Publicffentliche Tracker > Cloud Platform > Identität und Sicherheit > Managed Service for Microsoft AD).

Export von Logs

Sie können Managed Microsoft AD-Audit-Logs nach Pub/Sub, BigQuery oder Cloud Storage exportieren. Logs in andere Google Cloud-Dienste exportieren

Sie können Logs auch fürComplianceanforderungen .Sicherheits- und Zugriffsanalysen sowie an externe SIEM-Partner wieSplunk ,Elasticsearch und Datadog , um die Option zu aktivieren.

Support

Wenn Sie während der Vorschau Unterstützung benötigen, können Sie Fragen angoogle-cloud-managed-microsoft-ad-discuss@googlegroups.com oder einen Fehler in derProblemverfolgung , um die Option zu aktivieren.