In diesem Thema erfahren Sie, wie Sie Audit-Logs für Managed Microsoft AD für eine Domain aktivieren und aufrufen. Informationen zu Cloud-Audit-Logs für Managed Microsoft AD finden Sie unter Managed Microsoft AD-Audit-Logging.
Verwaltete Microsoft AD-Audit-Logs aktivieren
Sie können Managed Microsoft AD-Audit-Logs während der Domainerstellung oder durch Aktualisieren einer vorhandenen Domain aktivieren.
Bei der Domainerstellung
Führen Sie den folgenden gcloud CLI-Befehl aus, um Managed Microsoft AD-Audit-Logs während der Domainerstellung zu aktivieren.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Vorhandene Domain aktualisieren
Führen Sie die folgenden Schritte aus, um eine Domain zu aktualisieren, um Audit-Logs für Managed Microsoft AD zu aktivieren.
Console
- Rufen Sie in der Google Cloud Console die Seite Managed Microsoft AD auf.
Zur Seite "Managed Microsoft AD" - Wählen Sie auf der Seite Managed Microsoft AD in der Liste der Instanzen die Domain aus, für die Sie Audit-Logs aktivieren möchten.
- Wählen Sie auf der Seite "Domain-Details" die Option Audit-Logs ansehen und dann Logs konfigurieren aus dem Drop-down-Menü aus.
- Setzen Sie im Bereich Audit-Logs konfigurieren unter Logs deaktivieren/aktivieren die Logs auf Ein.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Sie können Logausschlüsse verwenden, um das zu beschränken, was in Logs protokolliert wird.
Die in Ihrem Projekt gespeicherten Logs sind kostenpflichtig. Weitere Informationen zu Cloud Logging-Preisen
Verwaltete Microsoft AD-Audit-Logs deaktivieren
Führen Sie die folgenden Schritte aus, um Managed Microsoft AD-Audit-Logs zu deaktivieren.
Console
- Rufen Sie in der Google Cloud Console die Seite Managed Microsoft AD auf.
Zur Seite "Managed Microsoft AD" - Wählen Sie auf der Seite Managed Microsoft AD in der Liste der Instanzen die Domain aus, für die Sie Audit-Logs deaktivieren möchten.
- Wählen Sie auf der Seite "Domain-Details" die Option Audit-Logs ansehen und dann Logs konfigurieren aus dem Drop-down-Menü aus.
- Setzen Sie im Bereich Audit-Logs konfigurieren unter Logs deaktivieren/Aktivieren die Logs auf Aus.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Logging-Status prüfen
Führen Sie die folgenden Schritte aus und führen Sie den folgenden gcloud CLI-Befehl aus, um zu prüfen, ob Logging aktiviert oder deaktiviert ist.
gcloud active-directory domains describe DOMAIN_NAME
Prüfen Sie in der Antwort den Wert des Felds auditLogsEnabled.
Logs ansehen
Verwaltete Microsoft AD-Audit-Logs sind nur für Domains verfügbar, die zum Erfassen von Logs aktiviert sind.
Zum Ansehen von Audit-Logs zu Managed Microsoft AD benötigen Sie die IAM-Berechtigung roles/logging.viewer (Identity and Access Management). Siehe Berechtigungen erteilen.
Führen Sie die folgenden Schritte aus, um die Audit-Logs von Managed Microsoft AD für Ihre Domain aufzurufen.
Log-Explorer
- Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Zur Seite „Log-Explorer“ Geben Sie im Query Builder Folgendes ein:
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Fügen Sie dem erweiterten Filter die folgende Zeile hinzu, um nach Ereignis-IDs zu filtern.
jsonPayload.ID=EVENT_ID
Wählen Sie Filter ausführen aus.
Siehe Log-Explorer.
Log-Explorer
- Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Zur Seite „Log-Explorer“ - Klicken Sie im Filtertextfeld auf und wählen Sie dann In erweiterten Filter umwandeln aus.
Geben Sie im Textfeld "Erweiterter Filter" die folgenden Werte ein.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Fügen Sie dem erweiterten Filter die folgende Zeile hinzu, um nach Ereignis-IDs zu filtern.
jsonPayload.ID=EVENT_ID
Wählen Sie Filter senden aus.
Siehe Log-Explorer.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus.
gcloud logging read FILTER
Dabei ist FILTER ein Ausdruck zur Identifizierung einer Reihe von Logeinträgen.
Fügen Sie das Flag --folder, --billing-account oder --organization hinzu, um Logeinträge in Ordnern, Rechnungskonten oder Organisationen zu lesen.
Mit dem folgenden Befehl können Sie alle Logs für Ihre Domain lesen.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Weitere Informationen finden Sie unter Logeinträge mit der gcloud CLI lesen und gcloud logging read-Befehl.
Logs interpretieren
Jeder log_entry enthält die folgenden Felder.
log_nameist das Ereignislog, in dem dieses Ereignis protokolliert wird.provider_nameist der Ereignisanbieter, der dieses Ereignis veröffentlicht hat.versionist die Versionsnummer für das Ereignis.- Die
event_idist die Kennung für dieses Ereignis. machine_nameist der Computer, auf dem das Ereignis in Log protokolliert wurde.xmlist die XML-Darstellung des Ereignisses. Er entspricht dem Ereignisschema.- Die
messageist die lesbare Darstellung des Ereignisses.
Exportierte Ereignis-IDs
In der folgenden Tabelle sind die Ereignis-IDs aufgeführt, die exportiert werden.
| Auditkategorie | Ereignis-IDs |
|---|---|
| Sicherheit bei der Kontoanmeldung | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Kontoverwaltungssicherheit | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| DS-Zugriffssicherheit | 4662, 5136, 5137, 5138, 5139, 5141 |
| Sicherheit für Ab- und Anmeldung | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Objektzugriffssicherheit | 4661, 5145 |
| Sicherheit bei Richtlinienänderungen | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Berechtigungsnutzungssicherheit | 4985 |
| Systemsicherheit | 4612, 4621 |
| NTLM-Authentifizierung | 8004 |
Wenn Sie feststellen, dass Ereignis-IDs fehlen, und nicht in der Tabelle der exportierten Ereignis-IDs aufgeführt sind, können Sie die Problemverfolgung verwenden, um einen Fehler zu melden. Verwenden Sie die Komponente Öffentliche Tracker > Cloud Platform > Identität und Sicherheit > Managed Service for Microsoft AD.
Logs exportieren
Sie können Managed Microsoft AD-Audit-Logs nach Pub/Sub, BigQuery oder Cloud Storage exportieren. Weitere Informationen zum Exportieren von Logs in andere Google Cloud-Dienste
Sie können auch Logs für Compliance-Anforderungen, Sicherheits- und Zugriffsanalysen und in externe SIEMs wie Splunk und Datadog exportieren.