관리형 Microsoft AD 감사 로그 사용

이 주제에서는 관리형 Microsoft AD 감사 로그를 사용 설정하고 확인하는 방법을 설명합니다. Cloud 감사 로그에 대한 자세한 내용은 관리형 Microsoft AD에 Cloud 감사 로그 사용을 참조하세요.

관리형 Microsoft AD 감사 로깅 사용 설정

도메인을 만드는 동안 또는 기존 도메인을 업데이트하여 관리형 Microsoft AD 감사 로깅을 사용 설정할 수 있습니다.

도메인 생성 시

도메인을 만드는 동안 관리형 Microsoft AD 감사 로깅을 사용 설정하려면 다음 gcloud 도구 명령어를 실행합니다.

gcloud beta active-directory domains create DOMAIN_NAME --enable-audit-logs

기존 도메인 업데이트

관리형 Microsoft AD 감사 로깅을 사용 설정하도록 도메인을 업데이트하려면 다음 gcloud 도구 명령어를 실행합니다.

gcloud beta active-directory domains update DOMAIN_NAME --enable-audit-logs

로그 제외를 사용하면 로깅되는 내용을 제한할 수 있습니다.

프로젝트에 저장된 로그는 요금이 부과됩니다. Cloud Logging 가격 책정 자세히 알아보기

관리형 Microsoft AD 감사 로깅 사용 중지

관리형 Microsoft AD 감사 로깅을 사용 중지하려면 다음 gcloud 도구 명령어를 실행합니다.

gcloud beta active-directory domains update DOMAIN_NAME --no-enable-audit-logs

로깅 상태 확인

로깅이 사용 설정되거나 사용 중지되었는지 확인하려면 다음 단계를 완료하고 다음 gcloud 도구 명령어를 실행합니다.

gcloud beta active-directory domains describe DOMAIN_NAME

응답에서 auditLogsEnabled 필드 값을 확인합니다.

로그 보기

관리형 Microsoft AD 감사 로그는 로그 수집이 사용 설정된 도메인에만 사용할 수 있습니다.

관리형 Microsoft AD 감사 로그를 보려면 roles/logging.viewer IAM(Identity and Access Management) 권한이 있어야 합니다. 권한 부여에 대해 자세히 알아보세요.

도메인의 관리형 Microsoft AD 감사 로그를 보려면 다음 단계를 완료하세요.

로그 탐색기

  1. Cloud Console의 로그 탐색기로 이동합니다.
    로그 탐색기 페이지로 이동
  2. 쿼리 빌더에 다음 값을 입력합니다.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    이벤트 ID로 필터링하려면 고급 필터에 다음 행을 추가합니다.

    jsonPayload.ID=EVENT_ID
    
  3. 필터 실행을 선택합니다.

로그 탐색기 알아보기

로그 뷰어

  1. Cloud Console의 로그 뷰어 페이지로 이동합니다.
    로그 뷰어 페이지로 이동
  2. 필터 텍스트 상자에서 를 클릭한 다음 고급 필터로 전환을 선택합니다.
  3. 고급 필터 텍스트 상자에 다음 값을 입력합니다.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    이벤트 ID로 필터링하려면 고급 필터에 다음 행을 추가합니다.

    jsonPayload.ID=EVENT_ID
    
  4. 필터 제출을 선택합니다.

로그 뷰어 알아보기

gcloud

다음 gcloud 도구 명령어를 실행하세요.

gcloud logging read FILTER

여기서 FILTER는 로그 항목 집합을 식별하는 표현식입니다. 폴더, 결제 계정, 조직의 로그 항목을 읽으려면 --folder, --billing-account 또는 --organization 플래그를 추가합니다.

다음 명령어를 실행하면 도메인의 모든 로그를 읽을 수 있습니다.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

gcloud 도구로 로그 항목 읽기gcloud logging read 명령어를 알아봅니다.

로그 해석

log_entry에는 다음 필드가 포함됩니다.

  • log_name는 이 이벤트가 로깅되는 이벤트 로그입니다.
  • provider_name는 이 이벤트를 게시한 이벤트 제공자입니다.
  • version는 이벤트의 버전 번호입니다.
  • event_id는 이 이벤트의 식별자입니다.
  • machine_name는 이 이벤트가 기록된 컴퓨터입니다.
  • xml는 이벤트의 XML 표현입니다. 이벤트 스키마를 준수합니다.
  • message은 사람이 읽을 수 있는 이벤트 표현입니다.

내보낸 이벤트 ID

다음 표는 내보낸 이벤트 ID를 보여줍니다.

표 1. 내보낸 이벤트 ID
감사 카테고리 이벤트 ID
계정 로그온 보안 4767, 4774, 4775, 4776, 4777
계정 관리 보안 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
DS 액세스 보안 5136, 5137, 5138, 5139, 5141
로그온 로그오프 보안 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
정책 변경 보안 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
권한 사용 보안 4985
시스템 보안 4612, 4621

이벤트 ID가 누락되고 이들이 내보낸 이벤트 ID 테이블에 나열되지 않은 경우, 문제 추적기를 사용하여 버그를 신고할 수 있습니다. 공개 추적자 > Cloud Platform> Identity & Security > Microsoft AD용 관리형 서비스 구성요소를 사용하세요.

로그 내보내기

관리형 Microsoft AD 감사 로그를 Pub/Sub, BigQuery 또는 Cloud Storage로 내보낼 수 있습니다. 다른 Google Cloud 서비스로 로그를 내보내는 방법 알아보기

또한 규정 준수 요구사항 ,보안 및 액세스 분석, 그리고 Splunk, Elasticsearch, Datadog와 같은 외부 SIEM으로 로그를 내보낼 수 있습니다.

지원 받기

미리보기 중 지원을 받으려면 google-cloud-managed-microsoft-ad-discuss@googlegroups.com으로 질문을 보내거나 문제 추적기에 버그를 신고할 수 있습니다.