이 주제에서는 도메인의 관리형 Microsoft AD 감사 로그를 사용 설정하고 보는 방법을 보여줍니다. 관리형 Microsoft AD의 Cloud 감사 로그에 대한 자세한 내용은 관리형 Microsoft AD 감사 로깅을 참조하세요.
관리형 Microsoft AD 감사 로그 사용 설정
도메인을 만드는 동안 또는 기존 도메인을 업데이트해서 관리형 Microsoft AD 감사 로그를 사용 설정할 수 있습니다.
도메인 생성 시
도메인을 만드는 동안 관리형 Microsoft AD 감사 로그를 사용 설정하려면 다음 gcloud CLI 명령어를 실행합니다.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
기존 도메인 업데이트
도메인을 업데이트하여 관리형 Microsoft AD 감사 로그를 사용 설정하려면 다음 단계를 완료합니다.
콘솔
- Google Cloud 콘솔에서 관리형 Microsoft AD 페이지로 이동합니다.
관리형 Microsoft AD 페이지로 이동 - 관리형 Microsoft AD 페이지의 인스턴스 목록에서 감사 로그를 사용 설정할 도메인을 선택합니다.
- 도메인 세부정보 페이지에서 감사 로그 보기를 선택한 후 드롭다운에서 로그 구성을 선택합니다.
- 감사 로그 구성 창의 로그 끄기/켜기에서 로그를 켜기로 전환합니다.
gcloud
다음 gcloud CLI 명령어를 실행합니다.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
로깅할 항목을 제한하려면 로그 제외를 사용합니다.
프로젝트에 저장된 로그에는 요금이 청구될 수 있습니다. Cloud Logging 가격 책정에 대해 자세히 알아보세요.
관리형 Microsoft AD 감사 로그 중지
관리형 Microsoft AD 감사 로그를 중지하려면 다음 단계를 완료합니다.
콘솔
- Google Cloud 콘솔에서 관리형 Microsoft AD 페이지로 이동합니다.
관리형 Microsoft AD 페이지로 이동 - 관리형 Microsoft AD 페이지의 인스턴스 목록에서 감사 로그를 중지할 도메인을 선택합니다.
- 도메인 세부정보 페이지에서 감사 로그 보기를 선택한 후 드롭다운에서 로그 구성을 선택합니다.
- 감사 로그 구성 창의 로그 끄기/켜기에서 로그를 끄기로 전환합니다.
gcloud
다음 gcloud CLI 명령어를 실행합니다.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
로깅 상태 확인
로깅이 사용 설정되거나 사용 중지되었는지 확인하려면 다음 단계를 완료하고 다음 gcloud CLI 명령어를 실행합니다.
gcloud active-directory domains describe DOMAIN_NAME
응답에서 auditLogsEnabled 필드 값을 확인합니다.
로그 보기
로그를 수집하도록 사용 설정된 도메인에서만 관리형 Microsoft AD 감사 로그를 사용할 수 있습니다.
관리형 Microsoft AD 감사 로그를 보려면 roles/logging.viewer Identity and Access Management(IAM) 권한이 있어야 합니다. 권한 부여에 대해 알아보세요.
도메인의 관리형 Microsoft AD 감사 로그를 보려면 다음 단계를 완료합니다.
로그 탐색기
- Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.
로그 탐색기 페이지로 이동 쿼리 빌더에 다음 값을 입력합니다.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
이벤트 ID를 기준으로 필터링하려면 다음 줄을 고급 필터에 추가합니다.
jsonPayload.ID=EVENT_ID
필터 실행을 선택합니다.
로그 탐색기 알아보기
로그 탐색기
- Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.
로그 탐색기 페이지로 이동 - 필터 텍스트 상자에서 을 클릭한 후 고급 필터로 전환을 선택합니다.
고급 필터 텍스트 상자에 다음 값을 입력합니다.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
이벤트 ID를 기준으로 필터링하려면 다음 줄을 고급 필터에 추가합니다.
jsonPayload.ID=EVENT_ID
필터 제출을 선택합니다.
로그 탐색기 알아보기
gcloud
다음 gcloud CLI 명령어를 실행합니다.
gcloud logging read FILTER
여기서 FILTER는 로그 항목 집합을 식별하는 표현식입니다.
폴더, 결제 계정, 조직에서 로그 항목을 읽으려면 --folder, --billing-account, --organization 플래그를 추가합니다.
도메인의 모든 로그를 읽으려면 다음 명령어를 실행하면 됩니다.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
로그 해석
log_entry마다 다음 필드가 포함되어 있습니다.
log_name는 이 이벤트가 로깅되는 이벤트 로그입니다.provider_name은 이 이벤트를 게시한 이벤트 제공업체입니다.version은 이벤트의 버전 번호입니다.event_id는 이 이벤트의 식별자입니다.machine_name은 이 이벤트가 로깅된 컴퓨터입니다.xml은 이벤트의 XML 표현입니다. 이벤트 스키마를 준수합니다.message는 사람이 읽을 수 있는 이벤트 표현입니다.
내보낸 이벤트 ID
다음 표에서는 내보낸 이벤트 ID를 보여줍니다.
| 감사 카테고리 | 이벤트 ID |
|---|---|
| 계정 로그온 보안 | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| 계정 관리 보안 | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| DS 액세스 보안 | 4662, 5136, 5137, 5138, 5139, 5141 |
| 로그온 로그오프 보안 | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| 객체 액세스 보안 | 4661, 5145 |
| 정책 변경 보안 | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| 권한 사용 보안 | 4985 |
| 시스템 보안 | 4612, 4621 |
| NTLM 인증 | 8004 |
이벤트 ID가 누락되고 이들이 내보낸 이벤트 ID 테이블에 나열되지 않은 경우, 문제 추적기를 사용하여 버그를 신고할 수 있습니다. 공개 추적자 > Cloud Platform> Identity & Security > Microsoft AD용 관리형 서비스 구성요소를 사용하세요.
로그 내보내기
관리형 Microsoft AD 감사 로그를 Pub/Sub, BigQuery 또는 Cloud Storage로 내보낼 수 있습니다. 다른 Google Cloud 서비스로 로그를 내보내는 방법을 알아봅니다.
또한 규정 준수 요구사항 ,보안 및 액세스 분석, 그리고 Splunk, Datadog와 같은 외부 SIEM으로 로그를 내보낼 수 있습니다.