Topik ini menunjukkan cara mengaktifkan dan melihat log audit Microsoft AD Terkelola untuk domain. Untuk mengetahui informasi tentang Log Audit Cloud untuk Microsoft AD Terkelola, lihat Logging audit Microsoft AD Terkelola.
Aktifkan log audit Microsoft AD Terkelola
Anda dapat mengaktifkan log audit Microsoft AD Terkelola selama pembuatan domain atau dengan memperbarui domain yang ada.
Saat pembuatan domain
Untuk mengaktifkan log audit Microsoft AD Terkelola selama pembuatan domain, jalankan perintah gcloud CLI berikut.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Perbarui domain yang ada
Untuk mengupdate domain agar dapat mengaktifkan log audit Microsoft AD Terkelola, selesaikan langkah-langkah berikut.
Konsol
- Buka halaman Managed Microsoft AD
di Konsol Google Cloud.
Buka halaman Microsoft AD Terkelola - Di halaman Managed Microsoft AD, dalam daftar instance, pilih domain tempat Anda ingin mengaktifkan log audit.
- Di halaman detail domain, pilih View audit logs, lalu pilih Configure logs dari menu dropdown.
- Di panel Configure audit logs, di bagian Turn off/on logs, alihkan log ke On.
gcloud
Jalankan perintah gcloud CLI berikut.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Untuk membatasi apa yang dicatat ke dalam log, Anda dapat menggunakan pengecualian log.
Perlu diperhatikan bahwa log yang disimpan di project Anda dapat dikenakan biaya. Pelajari harga untuk Cloud Logging lebih lanjut.
Nonaktifkan log audit Microsoft AD Terkelola
Untuk menonaktifkan log audit Microsoft AD Terkelola, selesaikan langkah-langkah berikut.
Konsol
- Buka halaman Managed Microsoft AD
di Konsol Google Cloud.
Buka halaman Microsoft AD Terkelola - Di halaman Managed Microsoft AD, dalam daftar instance, pilih domain tempat Anda ingin menonaktifkan log auditnya.
- Di halaman detail domain, pilih View audit logs, lalu pilih Configure logs dari menu dropdown.
- Di panel Configure audit logs, di bagian Turn off/on logs, alihkan log ke Off.
gcloud
Jalankan perintah gcloud CLI berikut.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Memverifikasi status logging
Untuk memastikan logging diaktifkan atau dinonaktifkan, selesaikan langkah-langkah berikut dan jalankan perintah gcloud CLI berikut.
gcloud active-directory domains describe DOMAIN_NAME
Pada respons, verifikasi nilai kolom auditLogsEnabled.
Lihat log
Log audit Microsoft AD terkelola hanya tersedia untuk domain yang diaktifkan untuk mengumpulkan log.
Untuk melihat log audit Microsoft AD Terkelola, Anda harus memiliki izin Pengelolaan Akses dan Identitas (IAM) roles/logging.viewer. Pelajari cara
memberikan izin.
Untuk melihat log audit Microsoft AD Terkelola untuk domain Anda, selesaikan langkah-langkah berikut.
Logs Explorer
- Buka halaman Logs Explorer di Konsol Google Cloud.
Buka halaman Logs Explorer Di Query Builder, masukkan nilai berikut.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Untuk memfilter menurut ID acara, tambahkan baris berikut ke filter lanjutan Anda.
jsonPayload.ID=EVENT_ID
Pilih Run Filter.
Pelajari Logs Explorer.
Logs Explorer
- Buka halaman Logs Explorer di Konsol Google Cloud.
Buka halaman Logs Explorer - Di kotak teks filter, klik , lalu pilih Konversikan ke filter lanjutan.
Di kotak teks filter lanjutan, masukkan nilai berikut.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Untuk memfilter menurut ID acara, tambahkan baris berikut ke filter lanjutan Anda.
jsonPayload.ID=EVENT_ID
Pilih Kirim Filter.
Pelajari Logs Explorer.
gcloud
Jalankan perintah gcloud CLI berikut.
gcloud logging read FILTER
Dengan FILTER adalah ekspresi untuk mengidentifikasi kumpulan entri log.
Untuk membaca entri log dalam folder, akun penagihan, atau organisasi, tambahkan flag --folder, --billing-account, atau --organization.
Untuk membaca semua log untuk domain, Anda dapat menjalankan perintah berikut.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Pelajari cara membaca entri log dengan gcloud CLI dan perintah gcloud logging read.
Menafsirkan log
Setiap log_entry berisi kolom berikut.
log_nameadalah log aktivitas tempat peristiwa ini dicatat.provider_nameadalah penyedia peristiwa yang memublikasikan peristiwa ini.versionadalah nomor versi untuk peristiwa tersebut.event_idadalah ID untuk peristiwa ini.machine_nameadalah komputer yang digunakan untuk mencatat peristiwa ini.xmladalah representasi XML dari peristiwa. Hal ini sesuai dengan skema peristiwa.messageadalah representasi peristiwa yang dapat dibaca manusia.
ID acara yang diekspor
Tabel berikut menampilkan ID peristiwa yang diekspor.
| Kategori audit | ID acara |
|---|---|
| Keamanan login akun | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Keamanan pengelolaan akun | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, |
| Keamanan akses DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Keamanan login logoff | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Keamanan akses objek | 4661, 5145 |
| Keamanan perubahan kebijakan | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4865, 4866 |
| Keamanan penggunaan hak istimewa | 4985 |
| Keamanan sistem | 4612, 4621 |
| Autentikasi NTLM | 8004 |
Jika ID peristiwa tidak ada dan Anda tidak melihatnya tercantum dalam tabel ID Peristiwa yang Diekspor, Anda dapat menggunakan Issue Tracker untuk melaporkan bug. Gunakan komponen Public Trackers > Cloud Platform > Identity & Security > Managed Service for Microsoft AD.
Ekspor log
Anda dapat mengekspor log audit Microsoft AD Terkelola ke Pub/Sub, BigQuery, atau Cloud Storage. Pelajari cara mengekspor log ke layanan Google Cloud lainnya.
Anda juga dapat mengekspor log untuk persyaratan kepatuhan, analisis keamanan dan akses, serta ke SIEM eksternal seperti Splunk dan Datadog.