使用代管式 Microsoft AD 审核日志

本主题介绍如何启用和查看代管式 Microsoft AD 审核日志。如需了解 Cloud Audit Logs,请参阅将 Cloud Audit Logs 用于代管式 Microsoft AD

启用代管式 Microsoft AD 审核日志记录

您可以在网域创建过程中或者通过更新现有的网域来启用代管式 Microsoft AD 审核日志记录。

创建网域时

如需在网域创建期间启用代管式 Microsoft AD 审核日志记录,请运行以下 gcloud 工具命令。

gcloud beta active-directory domains create DOMAIN_NAME --enable-audit-logs

更新现有网域

如需更新网域以启用代管式 Microsoft AD 审核日志记录,请运行以下 gcloud 工具命令。

gcloud beta active-directory domains update DOMAIN_NAME --enable-audit-logs

要限制所记录的内容,您可以使用日志排除项

请注意,存储在项目中的日志是收费的。详细了解 Cloud Logging 的价格

停用代管式 Microsoft AD 审核日志记录

如需停用代管式 Microsoft AD 审核日志记录,请运行以下 gcloud 工具命令。

gcloud beta active-directory domains update DOMAIN_NAME --no-enable-audit-logs

验证日志记录状态

如需验证是否已启用或停用日志记录,请运行以下 gcloud 工具命令。

gcloud beta active-directory domains describe DOMAIN_NAME

在响应中,验证 auditLogsEnabled 字段的值。

查看日志

代管式 Microsoft AD 审核日志仅适用于已启用日志收集功能的网域。

如需查看代管式 Microsoft AD 审核日志,您必须具有 roles/logging.viewer Identity and Access Management (IAM) 权限。了解如何授予权限

如需查看您的网域的代管式 Microsoft AD 审核日志,请完成以下步骤。

日志浏览器

  1. 转到 Cloud Console 中的日志浏览器页面。
    转到“日志浏览器”页面
  2. 查询构建器中,输入以下值。

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    要按事件 ID 过滤,请将以下行添加到高级过滤条件中。

    jsonPayload.ID=EVENT_ID
    
  3. 选择运行过滤条件

了解日志浏览器

日志查看器

  1. 在 Cloud Console 中,转到日志查看器页面。
    转到“日志查看器”页面
  2. 在过滤条件文本框中,点击 ,然后选择转换为高级过滤条件
  3. 在高级过滤条件文本框中,输入以下值。

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    要按事件 ID 过滤,请将以下行添加到高级过滤条件中。

    jsonPayload.ID=EVENT_ID
    
  4. 选择提交过滤条件

了解日志查看器

gcloud

运行以下 gcloud 工具命令。

gcloud logging read FILTER

其中,FILTER 是用于识别一组日志条目的表达式。如需读取文件夹、结算帐号或组织中的日志条目,请添加 --folder--billing-account--organization 标志。

如需读取网域的所有日志,您可以运行以下命令。

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

了解如何使用 gcloud 工具gcloud logging read 命令读取日志条目。

解读日志

每个 log_entry 包含以下字段。

  • log_name 是记录此事件的事件日志。
  • provider_name 是发布此事件的事件提供程序。
  • version 是事件的版本号。
  • event_id 是此事件的标识符。
  • machine_name 是记录此事件的计算机。
  • xml 是事件的 XML 表示。它遵循事件架构
  • message 是直观易懂的事件表示形式。

导出的事件 ID

下表显示了已导出的事件 ID。

表格 1. 导出的事件 ID
审核类别 事件 ID
帐号登录安全 4767、4774、4775、4776、4777
帐号管理安全 4720、4722、4723、4724、4725、4726、4727、4728、4729、4730、4731、4732、4733、4734、4735、4737、4738、4740、4741、4742、4743、4754、4755、4756、4757、4758、4764、4765、4766、4780、4781、4782、4793、4798、4799、5376、5377
DS 访问安全 5136、5137、5138、5139、5141
登录/注销安全 4624、4625、4634、4647、4648、4672、4675、4964
政策更改安全 4670、4703、4704、4705、4706、4707、4713、4715、4716、4717、4718、4719、4739、4864、4865、4866、4867、4904、4906、4911、4912
特权使用安全 4985
系统安全 4612、4621

如果您发现任何事件 ID 缺失,并且没有看到它们列在导出的事件 ID 表中,则可以使用问题跟踪器提交 Bug。使用公共跟踪器 > Cloud Platform > 身份验证和安全 > Managed Service for Microsoft AD 组件。

导出日志

您可以将代管式 Microsoft AD 审核日志导出到 Pub/Sub、BigQuery 或 Cloud Storage。了解如何将日志导出到其他 Google Cloud 服务

您还可以导出日志以符合合规性要求以及进行安全和访问分析,也可以将日志导出到外部 SIEM(例如 SplunkElasticsearchDatadog)。

获取支持

如需在预览版期间获得支持,您可以将问题发送到 google-cloud-managed-microsoft-ad-discuss@googlegroups.com,也可以在问题跟踪器中提交 Bug。