관리형 Microsoft AD 감사 로그 사용

이 주제에서는 관리형 Microsoft AD 감사 로그를 사용 설정하고 보는 방법을 설명합니다. Cloud 감사 로그는 관리형 Microsoft AD에 Cloud 감사 로그 사용을 참조하세요.

관리형 Microsoft AD 감사 로깅 사용 설정

도메인을 만드는 동안 또는 기존 도메인을 업데이트하여 관리형 Microsoft AD 감사 로깅을 사용 설정할 수 있습니다.

도메인 생성 시

도메인을 만드는 동안 관리형 Microsoft AD 감사 로깅을 사용 설정하려면 다음 gcloud 도구 명령어를 실행합니다.

gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs

기존 도메인 업데이트

도메인을 업데이트하여 관리형 Microsoft AD 감사 로깅을 사용 설정하려면 다음 단계를 완료합니다.

Console

  1. Cloud Console의 관리형 Microsoft AD 페이지로 이동합니다.
    관리형 Microsoft AD 페이지로 이동
  2. 관리형 Microsoft AD 페이지의 인스턴스 목록에서 감사 로그를 사용 설정할 도메인을 선택합니다.
  3. 도메인 세부정보 페이지에서 감사 로그 보기를 선택한 후 드롭다운에서 로그 구성을 선택합니다.
  4. 감사 로그 구성 창의 로그 끄기/켜기에서 로그를 켜기로 전환합니다.

gcloud

다음 gcloud 도구 명령어를 실행하세요.

gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs

로깅할 항목을 제한하려면 로그 제외를 사용합니다.

프로젝트에 저장된 로그에는 요금이 청구될 수 있습니다. Cloud Logging 가격 책정에 대해 자세히 알아보세요.

관리형 Microsoft AD 감사 로깅 중지

관리형 Microsoft AD 감사 로깅을 중지하려면 다음 단계를 완료합니다.

Console

  1. Cloud Console의 관리형 Microsoft AD 페이지로 이동합니다.
    관리형 Microsoft AD 페이지로 이동
  2. 관리형 Microsoft AD 페이지의 인스턴스 목록에서 감사 로그를 중지할 도메인을 선택합니다.
  3. 도메인 세부정보 페이지에서 감사 로그 보기를 선택한 후 드롭다운에서 로그 구성을 선택합니다.
  4. 감사 로그 구성 창의 로그 끄기/켜기에서 로그를 끄기로 전환합니다.

gcloud

다음 gcloud 도구 명령어를 실행하세요.

gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs

로깅 상태 확인

로깅이 사용 설정되거나 사용 중지되었는지 확인하려면 다음 단계를 완료하고 다음 gcloud 도구 명령어를 실행합니다.

gcloud active-directory domains describe DOMAIN_NAME

응답에서 auditLogsEnabled 필드 값을 확인합니다.

로그 보기

로그를 수집하도록 사용 설정된 도메인에서만 관리형 Microsoft AD 감사 로그를 사용할 수 있습니다.

관리형 Microsoft AD 감사 로그를 보려면 roles/logging.viewer Identity and Access Management(IAM) 권한이 있어야 합니다. 권한 부여에 대해 알아보세요.

도메인의 관리형 Microsoft AD 감사 로그를 보려면 다음 단계를 완료합니다.

로그 탐색기

  1. Cloud Console의 로그 탐색기로 이동합니다.
    로그 탐색기 페이지로 이동
  2. 쿼리 빌더에 다음 값을 입력합니다.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    이벤트 ID를 기준으로 필터링하려면 다음 줄을 고급 필터에 추가합니다.

    jsonPayload.ID=EVENT_ID
    
  3. 필터 실행을 선택합니다.

로그 탐색기 알아보기

로그 뷰어

  1. Cloud Console의 로그 뷰어 페이지로 이동합니다.
    로그 뷰어 페이지로 이동
  2. 필터 텍스트 상자에서 을 클릭한 후 고급 필터로 전환을 선택합니다.
  3. 고급 필터 텍스트 상자에 다음 값을 입력합니다.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    이벤트 ID를 기준으로 필터링하려면 다음 줄을 고급 필터에 추가합니다.

    jsonPayload.ID=EVENT_ID
    
  4. 필터 제출을 선택합니다.

로그 뷰어에 대해 알아보세요.

gcloud

다음 gcloud 도구 명령어를 실행하세요.

gcloud logging read FILTER

여기서 FILTER는 로그 항목 집합을 식별하는 표현식입니다. 폴더, 결제 계정 또는 조직에서 로그 항목을 읽으려면 --folder, --billing-account 또는 --organization 플래그를 추가합니다.

도메인의 모든 로그를 읽으려면 다음 명령어를 실행하면 됩니다.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

gcloud 도구로 로그 항목 읽기gcloud logging read 명령어를 알아봅니다.

로그 해석

log_entry마다 다음 필드가 포함되어 있습니다.

  • log_name는 이 이벤트가 로깅되는 이벤트 로그입니다.
  • provider_name은 이 이벤트를 게시한 이벤트 제공업체입니다.
  • version은 이벤트의 버전 번호입니다.
  • event_id는 이 이벤트의 식별자입니다.
  • machine_name은 이 이벤트가 로깅된 컴퓨터입니다.
  • xml은 이벤트의 XML 표현입니다. 이벤트 스키마를 준수합니다.
  • message는 사람이 읽을 수 있는 이벤트 표현입니다.

내보낸 이벤트 ID

다음 표에서는 내보낸 이벤트 ID를 보여줍니다.

표 1. 내보낸 이벤트 ID
감사 카테고리 이벤트 ID
계정 로그온 보안 4767, 4774, 4775, 4776, 4777
계정 관리 보안 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
DS 액세스 보안 5136, 5137, 5138, 5139, 5141
로그온 로그오프 보안 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
정책 변경 보안 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
권한 사용 보안 4985
시스템 보안 4612, 4621

이벤트 ID가 누락되고 이들이 내보낸 이벤트 ID 테이블에 나열되지 않은 경우, 문제 추적기를 사용하여 버그를 신고할 수 있습니다. 공개 추적자 > Cloud Platform> Identity & Security > Microsoft AD용 관리형 서비스 구성요소를 사용하세요.

로그 내보내기

관리형 Microsoft AD 감사 로그를 Pub/Sub, BigQuery 또는 Cloud Storage로 내보낼 수 있습니다. 다른 Google Cloud 서비스로 로그를 내보내는 방법 알아보기

또한 규정 준수 요구사항 ,보안 및 액세스 분석, 그리고 Splunk, Elasticsearch, Datadog와 같은 외부 SIEM으로 로그를 내보낼 수 있습니다.