マネージド Microsoft AD の監査ログの使用

このトピックでは、マネージド Microsoft AD の監査ログを有効にして表示する方法について説明します。Cloud 監査ログの詳細については、マネージド Microsoft AD の Cloud 監査ログの使用をご覧ください。

マネージド Microsoft AD の監査ロギングを有効にする

マネージド Microsoft AD の監査ロギングは、ドメインの作成時に、または既存のドメインを更新することによって有効にできます。

ドメイン作成時

ドメイン作成時にマネージド Microsoft AD の監査ロギングを有効にするには、次の gcloud ツールコマンドを実行します。

gcloud beta active-directory domains create DOMAIN_NAME --enable-audit-logs

既存のドメインを更新する

ドメインを更新してマネージド Microsoft AD の監査ロギングを有効にするには、次の gcloud ツールコマンドを実行します。

gcloud beta active-directory domains update DOMAIN_NAME --enable-audit-logs

ログに記録する対象を制限するには、ログの除外を使用します。

プロジェクトに保存されているログは課金対象です。詳しくは、Cloud Logging の料金をご覧ください。

マネージド Microsoft AD の監査ロギングを無効にする

マネージド Microsoft AD の監査ロギングを無効にするには、次の gcloud ツールコマンドを実行します。

gcloud beta active-directory domains update DOMAIN_NAME --no-enable-audit-logs

ロギング ステータスの確認

ロギングが有効または無効のいずれの状態であるかを確認するには、次の手順に沿って gcloud ツールコマンドを実行します。

gcloud beta active-directory domains describe DOMAIN_NAME

レスポンスで、auditLogsEnabled フィールドの値を確認します。

ログの表示

マネージド Microsoft AD の監査ログは、ログの収集が有効になっているドメインでのみ取得できます。

マネージド Microsoft AD の監査ログを表示するには、roles/logging.viewer Identity and Access Management(IAM)の権限を付与されている必要があります。権限の付与について確認します。

ドメインのマネージド Microsoft AD の監査ログを表示するには、次の手順を行います。

ログ エクスプローラ

  1. Cloud Console の [ログ エクスプローラ] ページに移動します。
    [ログ エクスプローラ] ページに移動
  2. クエリビルダーに、次の値を入力します。

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    イベント ID でフィルタするには、次の行を高度なフィルタに追加します。

    jsonPayload.ID=EVENT_ID
    
  3. [Run Filter] を選択します。

ログ エクスプローラについて確認します。

ログビューア

  1. Cloud Console の [ログビューア] ページに移動します。
    [ログビューア] ページに移動
  2. フィルタ テキスト ボックスで、[] をクリックし、[高度なフィルタに変換] を選択します。
  3. 高度なフィルタのテキストボックスに次の値を入力します。

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    イベント ID でフィルタするには、次の行を高度なフィルタに追加します。

    jsonPayload.ID=EVENT_ID
    
  4. [フィルタを送信] を選択します。

ログビューアについて確認します。

gcloud

次の gcloud ツールコマンドを実行します。

gcloud logging read FILTER

FILTER は一連のログエントリを識別する式です。フォルダ、請求先アカウント、または組織内のログエントリを読み取るには、--folder--billing-account、または --organization のフラグを追加します。

ドメインのすべてのログを読み取るには、次のコマンドを実行します。

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

gcloud ツールを使用したログエントリの読み取りgcloud logging read コマンドを使用した読み取りについて確認します。

ログの解釈

log_entry には次のフィールドが含まれます。

  • log_name は、このイベントのログが記録されるイベントログです。
  • provider_name は、このイベントを公開したイベント プロバイダです。
  • version は、イベントのバージョン番号です。
  • event_id は、このイベントの識別子です。
  • machine_name は、このイベントのログが記録されたパソコンです。
  • xml はイベントの XML 表現です。イベント スキーマに準拠しています。
  • message は人が読める形式のイベントの表現です。

エクスポートされたイベント ID

次の表に、エクスポートされたイベント ID を示します。

表 1.エクスポートされたイベント ID
監査カテゴリ イベント ID
アカウント ログオン セキュリティ 4767, 4774, 4775, 4776, 4777
アカウント管理のセキュリティ 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
DS のアクセス セキュリティ 5136, 5137, 5138, 5139, 5141
ログオンとログオフのセキュリティ 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
ポリシーの変更に関するセキュリティ 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
権限の使用に関するセキュリティ 4985
システム セキュリティ 4612, 4621

いずれかのイベント ID が欠落しており、エクスポートされたイベント ID テーブルに表示されない場合は、Issue Tracker を使用してバグを報告できます。Public Trackers > Cloud Platform > Identity&Security > Managed Service for Microsoft AD のコンポーネントを使用します。

ログのエクスポート

マネージド Microsoft AD の監査ログを Pub/Sub、BigQuery、または Cloud Storage にエクスポートできます。他の Google Cloud サービスにログをエクスポートする方法を確認します。

コンプライアンス要件セキュリティとアクセス分析のログを、SplunkElasticsearchDatadog などの外部 SIEM にエクスポートすることもできます。

サポートの利用

プレビュー実施中にサポートを受けていただくには、google-cloud-managed-microsoft-ad-discuss@googlegroups.com に質問を送信していただくか、Issue Tracker でバグをご報告ください。