Questo argomento mostra come abilitare e visualizzare gli audit log di Microsoft AD gestiti per un dominio. Per informazioni su Cloud Audit Logs per Microsoft Active Directory gestito, consulta Log di controllo di Microsoft AD gestito.
Abilita audit log gestiti di Microsoft AD
Puoi abilitare gli audit log di Microsoft AD gestiti durante la creazione del dominio o aggiornando un dominio esistente.
Al momento della creazione del dominio
Per abilitare gli audit log di Microsoft AD gestiti durante la creazione del dominio, esegui questo comando dell'interfaccia a riga di comando gcloud.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Aggiorna il dominio esistente
Per aggiornare un dominio per abilitare gli audit log di Microsoft AD gestiti, completa i seguenti passaggi.
Console
- Vai alla pagina Microsoft Active Directory gestito nella console Google Cloud.
Vai alla pagina Microsoft Active Directory gestita - Nell'elenco delle istanze della pagina Microsoft Active Directory gestita, seleziona il dominio in cui vuoi abilitare gli audit log.
- Nella pagina dei dettagli del dominio, seleziona Visualizza audit log, quindi seleziona Configura i log dal menu a discesa.
- Nel riquadro Configura gli audit log, in Disattiva/attiva i log, imposta i log su On.
gcloud
Esegui questo comando dell'interfaccia a riga di comando gcloud.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Per limitare i contenuti registrati, puoi utilizzare le esclusioni dei log.
Tieni presente che i log archiviati nel tuo progetto sono addebitabili. Scopri di più sui prezzi di Cloud Logging.
Disabilita audit log gestiti di Microsoft AD
Per disabilitare gli audit log di Microsoft Active Directory gestiti:
Console
- Vai alla pagina Microsoft Active Directory gestito nella console Google Cloud.
Vai alla pagina Microsoft Active Directory gestita - Nell'elenco delle istanze della pagina Microsoft Active Directory gestita, seleziona il dominio in cui vuoi disabilitare gli audit log.
- Nella pagina dei dettagli del dominio, seleziona Visualizza audit log, quindi seleziona Configura i log dal menu a discesa.
- Nel riquadro Configura gli audit log, in Disattiva/attiva i log, imposta i log su Off.
gcloud
Esegui questo comando dell'interfaccia a riga di comando gcloud.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verifica stato di logging
Per verificare che il logging sia abilitato o disabilitato, completa i seguenti passaggi, esegui il seguente comando dell'interfaccia a riga di comando gcloud.
gcloud active-directory domains describe DOMAIN_NAME
Nella risposta, verifica il valore del campo auditLogsEnabled.
Visualizza i log
Gli audit log gestiti di Microsoft AD sono disponibili solo per i domini abilitati a raccogliere i log.
Per visualizzare gli audit log di Microsoft AD gestiti, devi disporre dell'autorizzazione roles/logging.viewer Identity and Access Management (IAM). Scopri di più sulla concessione delle autorizzazioni.
Per visualizzare gli audit log di Microsoft AD gestiti per il tuo dominio, completa questi passaggi.
Esplora log
- Vai alla pagina Esplora log nella console Google Cloud.
Vai alla pagina Esplora log In Query Builder, inserisci i seguenti valori.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Per filtrare in base agli ID evento, aggiungi la seguente riga al filtro avanzato.
jsonPayload.ID=EVENT_ID
Seleziona Esegui filtro.
Scopri di più su Esplora log.
Esplora log
- Vai alla pagina Esplora log nella console Google Cloud.
Vai alla pagina Esplora log - Nella casella di testo del filtro, fai clic su e seleziona Converti in filtro avanzato.
Nella casella di testo del filtro avanzato, inserisci i seguenti valori.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Per filtrare in base agli ID evento, aggiungi la seguente riga al filtro avanzato.
jsonPayload.ID=EVENT_ID
Seleziona Invia filtro.
Scopri di più su Esplora log.
gcloud
Esegui questo comando dell'interfaccia a riga di comando gcloud.
gcloud logging read FILTER
Dove FILTER è un'espressione per identificare un insieme di voci di log.
Per leggere le voci di log in cartelle, account di fatturazione o organizzazioni, aggiungi i flag --folder, --billing-account o --organization.
Per leggere tutti i log del dominio, puoi eseguire il comando seguente.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Scopri di più sulla lettura delle voci di log con l'interfaccia a riga di comando gcloud e il comando gcloud logging read.
Interpretare i log
Ogni log_entry contiene i seguenti campi.
log_nameè il log eventi in cui viene registrato questo evento.provider_nameè il fornitore di eventi che ha pubblicato l'evento.versionè il numero della versione dell'evento.- L'identificatore è
event_idper questo evento. machine_nameè il computer su cui è stato registrato l'evento.xmlè la rappresentazione XML dell'evento. È conforme allo schema dell'evento.- Il
messageè una rappresentazione leggibile dell'evento.
ID eventi esportati
La tabella seguente mostra gli ID evento esportati.
| Categoria di controllo | ID evento |
|---|---|
| Sicurezza dell'accesso all'account | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Sicurezza della gestione account | |
| Sicurezza dell'accesso a DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Sicurezza di disconnessione | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Sicurezza dell'accesso agli oggetti | 4661, 5145 |
| Sicurezza modifica criteri | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4861 4, 4866, 4 |
| Sicurezza dell'utilizzo dei privilegi | 4985 |
| Sicurezza del sistema | 4612, 4621 |
| Autenticazione NTLM | 8004 |
Se trovi ID evento mancanti e non li vedi nella tabella ID esportati, puoi utilizzare lo strumento Issue Tracker per segnalare un bug. Utilizza il componente Tracker pubblici > Cloud Platform > Identità e sicurezza > Servizio gestito per Microsoft AD.
Esportazione dei log
Puoi esportare gli audit log di Microsoft AD gestiti in Pub/Sub, BigQuery o Cloud Storage. Scopri come esportare i log in altri servizi Google Cloud.
Puoi anche esportare i log per requisiti di conformità, analisi di accesso e sicurezza e in SIEM esterni come Splunk e Datadog.