Serviços de domínio do Active Directory (AD DS)

Os Serviços de Domínio do Active Directory (AD DS) armazenam informações sobre objetos na rede para que os administradores e os utilizadores possam aceder facilmente a estas informações.

Para mais informações sobre o AD DS, consulte a documentação dos Serviços de Domínio do Active Directory (AD DS).

Pré-requisitos

Para recolher telemetria do AD DS, tem de instalar o agente de operações:

  • Para métricas, instale a versão 2.15.0 ou superior.
  • Para registos, instale a versão 2.15.0 ou superior.

Esta integração suporta as versões do AD DS windows-server-2016 e windows-server-2019.

Configure a sua instância do AD DS

Por predefinição, os registos de eventos do Windows do Active Directory e os contadores de desempenho estão ativados.

Configure o agente de operações para o AD DS

Seguindo o guia para configurar o Ops Agent, adicione os elementos necessários para recolher telemetria de instâncias do AD DS e reinicie o agente.

Exemplo de configuração

Os seguintes comandos criam a configuração para recolher e carregar telemetria para o AD DS:

$ErrorActionPreference = 'Stop'

# Create an empty config.yaml file if it doesn't exist.
$configFilePath  = 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml'

if (-not (Test-Path -Path $configFilePath -PathType Leaf)) {
    New-Item -ItemType File -Path $configFilePath -Force | Out-Null
}

# Create a back up of the existing file so existing configurations are not lost.
Copy-Item -Path 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' -Destination 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml.bak'

# Configure the Ops Agent.
Add-Content 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' "
logging:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds

metrics:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds
"

if (Get-Service google-cloud-ops-agent* -ErrorAction SilentlyContinue) {
  (Get-Service google-cloud-ops-agent*).WaitForStatus('Running', '00:03:00')
}

Para que estas alterações entrem em vigor, tem de reiniciar o agente de operações:

  1. Estabeleça ligação à sua instância através do RDP ou de uma ferramenta semelhante e inicie sessão no Windows.
  2. Abra um terminal do PowerShell com privilégios de administrador: clique com o botão direito do rato no ícone do PowerShell e selecione Executar como administrador
  3. Para reiniciar o agente, execute o seguinte comando do PowerShell:
    Restart-Service google-cloud-ops-agent -Force
    
  4. Para confirmar que o agente foi reiniciado, execute o seguinte comando e verifique se os componentes "Agente de métricas" e "Agente de registo" foram iniciados:
    Get-Service google-cloud-ops-agent*
    

Configure a recolha de registos

Para carregar registos do AD DS, tem de criar um recetor para os registos produzidos pelo AD DS e, em seguida, criar um pipeline para o novo recetor.

Para configurar um recetor para os seus registos active_directory_ds, especifique os seguintes campos:

Campo Predefinição Descrição
type O valor tem de ser active_directory_ds.

O que é registado

O logName é derivado dos IDs dos recetores especificados na configuração. Os campos detalhados no interior de LogEntry são os seguintes.

Os registos active_directory_ds contêm os seguintes campos em LogEntry:

Campo Tipo Descrição
jsonPayload.Channel de string O canal do registo de eventos onde o registo foi registado.
jsonPayload.ComputerName de string O nome do computador a partir do qual este registo tem origem.
jsonPayload.Data de string Dados adicionais específicos do evento incluídos no registo.
jsonPayload.EventCategory número A categoria do evento.
jsonPayload.EventID número Um ID que identifica o tipo de evento.
jsonPayload.EventType de string O tipo de evento.
jsonPayload.Message de string A mensagem de registo.
jsonPayload.Qualifiers número Um número de qualificador usado para a identificação de eventos.
jsonPayload.RecordNumber número O número de sequência do registo de eventos.
jsonPayload.Sid de string O identificador de segurança que identifica um principal de segurança ou um grupo de segurança do processo que registou esta mensagem.
jsonPayload.SourceName de string O componente de origem que registou esta mensagem.
jsonPayload.StringInserts []string Dados de strings dinâmicos que foram usados para criar a mensagem de registo.
jsonPayload.TimeGenerated de string Uma data/hora que representa o momento em que o registo foi gerado.
jsonPayload.TimeWritten de string Uma data/hora que representa o momento em que o registo foi escrito no registo de eventos.
severity string (LogSeverity) Nível de entrada de registo (traduzido).

Configure a recolha de métricas

Para carregar métricas do AD DS, tem de criar um recetor para as métricas produzidas pelo AD DS e, em seguida, criar um pipeline para o novo recetor.

Este recetor não suporta a utilização de várias instâncias na configuração, por exemplo, para monitorizar vários pontos finais. Todas essas instâncias escrevem na mesma série cronológica e o Cloud Monitoring não tem forma de as distinguir.

Para configurar um destinatário para as suas métricas active_directory_ds, especifique os seguintes campos:

Campo Predefinição Descrição
collection_interval 60s Um valor de duração, como 30s ou 5m.
type O valor tem de ser active_directory_ds.

O que é monitorizado

A tabela seguinte apresenta a lista de métricas que o agente de operações recolhe da instância do AD DS.

Tipo de métrica
Tipo, Tipo
Recursos monitorizados
Etiquetas
workload.googleapis.com/active_directory.ds.bind.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.ldap.bind.last_successful.time
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.bind.rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.client.session.count
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.search.rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.name_cache.hit_rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.notification.queued
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.operation.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.replication.network.io
CUMULATIVEINT64
gce_instance
direction
type
workload.googleapis.com/active_directory.ds.replication.object.rate
GAUGEDOUBLE
gce_instance
direction
workload.googleapis.com/active_directory.ds.replication.operation.pending
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.replication.property.rate
GAUGEDOUBLE
gce_instance
direction
workload.googleapis.com/active_directory.ds.replication.sync.object.pending
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.replication.sync.request.count
CUMULATIVEINT64
gce_instance
result
workload.googleapis.com/active_directory.ds.replication.value.rate
GAUGEDOUBLE
gce_instance
direction
type
workload.googleapis.com/active_directory.ds.security_descriptor_propagations_event.queued
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.suboperation.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.thread.count
GAUGEINT64
gce_instance
 

Valide a configuração

Esta secção descreve como verificar se configurou corretamente o recetor do AD DS. O agente de operações pode demorar um ou dois minutos a começar a recolher telemetria.

Para verificar se os registos do AD DS estão a ser enviados para o Cloud Logging, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Explorador de registos:

    Aceda ao Explorador de registos

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

  2. Introduza a seguinte consulta no editor e, de seguida, clique em Executar consulta:
    resource.type="gce_instance"
    log_id("active_directory_ds")
    

Para verificar se as métricas do AD DS estão a ser enviadas para o Cloud Monitoring, faça o seguinte:

  1. Na Google Cloud consola, aceda à página  Explorador de métricas:

    Aceda ao Metrics Explorer

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.

  2. Na barra de ferramentas do painel do criador de consultas, selecione o botão cujo nome é  MQL ou  PromQL.
  3. Verifique se a opção PromQL está selecionada no botão Idioma. O botão para alternar o idioma encontra-se na mesma barra de ferramentas que lhe permite formatar a consulta.
  4. Introduza a seguinte consulta no editor e, de seguida, clique em Executar consulta:
    {"workload.googleapis.com/active_directory.ds.bind.rate", monitored_resource="gce_instance"}
    

Ver o painel de controlo

Para ver as métricas do AD DS, tem de ter um gráfico ou um painel de controlo configurado. A integração do AD DS inclui um ou mais painéis de controlo para si. Todos os painéis de controlo são instalados automaticamente depois de configurar a integração e o agente de operações começar a recolher dados de métricas.

Também pode ver pré-visualizações estáticas de painéis de controlo sem instalar a integração.

Para ver um painel de controlo instalado, faça o seguinte:

  1. Na Google Cloud consola, aceda à página  Painéis de controlo:

    Aceda a Painéis de controlo

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.

  2. Selecione o separador Lista de painéis de controlo e, de seguida, escolha a categoria Integrações.
  3. Clique no nome do painel de controlo que quer ver.

Se configurou uma integração, mas o painel de controlo não foi instalado, verifique se o agente de operações está em execução. Quando não existem dados de métricas para um gráfico no painel de controlo, a instalação do painel de controlo falha. Depois de o agente de operações começar a recolher métricas, o painel de controlo é instalado para si.

Para ver uma pré-visualização estática do painel de controlo, faça o seguinte:

  1. Na Google Cloud consola, aceda à página  Integrações:

    Aceda a Integrações

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.

  2. Clique no filtro da plataforma de implementação Compute Engine.
  3. Localize a entrada para AD DS e clique em Ver detalhes.
  4. Selecione o separador Painéis de controlo para ver uma pré-visualização estática. Se o painel de controlo estiver instalado, pode navegar até ele clicando em Ver painel de controlo.

Para mais informações acerca dos painéis de controlo no Cloud Monitoring, consulte o artigo Painéis de controlo e gráficos.

Para mais informações sobre como usar a página Integrações, consulte o artigo Gerir integrações.

Instale políticas de alerta

As políticas de alerta indicam ao Cloud Monitoring que lhe envie uma notificação quando ocorrerem condições especificadas. A integração do AD DS inclui uma ou mais políticas de alerta para sua utilização. Pode ver e instalar estas políticas de alerta na página Integrações em Monitorização.

Para ver as descrições das políticas de alerta disponíveis e instalá-las, faça o seguinte:

  1. Na Google Cloud consola, aceda à página  Integrações:

    Aceda a Integrações

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.

  2. Localize a entrada para AD DS e clique em Ver detalhes.
  3. Selecione o separador Alertas. Este separador apresenta descrições das políticas de alerta disponíveis e uma interface para as instalar.
  4. Instale políticas de alerta. As políticas de alerta precisam de saber para onde enviar notificações de que o alerta foi acionado, pelo que requerem informações suas para a instalação. Para instalar políticas de alerta, faça o seguinte:
    1. Na lista de políticas de alerta disponíveis, selecione as que quer instalar.
    2. Na secção Configurar notificações, selecione um ou mais canais de notificação. Tem a opção de desativar a utilização de canais de notificação, mas, se o fizer, as suas políticas de alerta são acionadas silenciosamente. Pode verificar o respetivo estado em Monitorização, mas não recebe notificações.

      Para mais informações sobre os canais de notificação, consulte o artigo Faça a gestão dos canais de notificação.

    3. Clique em Criar políticas.

Para mais informações sobre as políticas de alerta no Cloud Monitoring, consulte o artigo Introdução aos alertas.

Para mais informações sobre como usar a página Integrações, consulte o artigo Gerir integrações.

O que se segue?

Para ver um passo a passo sobre como usar o Ansible para instalar o agente de operações, configurar uma aplicação de terceiros e instalar um painel de controlo de exemplo, consulte o vídeo Instale o agente de operações para resolver problemas de aplicações de terceiros.