Active Directory Domain Services (AD DS)

Active Directory Domain Services (AD DS) speichert Informationen zu Objekten im Netzwerk, damit Administratoren und Nutzer problemlos auf diese Informationen zugreifen können.

Weitere Informationen zu AD DS finden Sie in der Dokumentation zu AD DS.

Vorbereitung

Zum Erfassen von AD DS-Telemetriedaten müssen Sie den Ops-Agent installieren:

  • Installieren Sie für Messwerte Version 2.15.0 oder höher.
  • Installieren Sie für Logs die Version 2.15.0 oder höher.

Diese Integration unterstützt die AD DS-Versionen "windows-server-2016" und "windows-server-2019".

AD DS-Instanz konfigurieren

Standardmäßig sind Active Directory-Windows-Ereignislogs und -Leistungszähler aktiviert.

Ops-Agent für AD DS konfigurieren

Fügen Sie die erforderlichen Elemente zum Erfassen von Telemetriedaten von den AD DS -Instanzen gemäß der Anleitung unter Ops-Agent konfigurieren hinzu und starten Sie den Agent neu.

Konfigurationsbeispiel

Die folgenden Befehle erstellen die Konfiguration zum Erfassen und Aufnehmen von Telemetriedaten für AD DS und starten den Ops-Agent neu:

$ErrorActionPreference = 'Stop'

# Create a back up of the existing file so existing configurations are not lost.
Copy-Item -Path 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' -Destination 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml.bak'

# Configure the Ops Agent.
Add-Content 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' "
logging:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds

metrics:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds
"

# Stop-Service may fail if the service isn't in a Running state yet.
(Get-Service google-cloud-ops-agent*).WaitForStatus('Running', '00:03:00')
Stop-Service google-cloud-ops-agent -Force
Start-Service google-cloud-ops-agent*

Logerfassung konfigurieren

Um Logs von AD DS aufzunehmen, müssen Sie einen Empfänger für die von AD DS generierten Logs erstellen und dann eine Pipeline für den neuen Empfänger erstellen.

Geben Sie die folgenden Felder an, um einen Empfänger für Ihre active_directory_ds-Logs zu konfigurieren:

Feld Standard Beschreibung
type Der Wert muss active_directory_ds betragen.

Was wird protokolliert?

Der logName wird von den Empfänger-IDs abgeleitet, die in der Konfiguration angegeben sind. Detaillierte Felder in LogEntry sind:

active_directory_ds-Logs enthalten die folgenden Felder in LogEntry:

Feld Typ Beschreibung
jsonPayload.Channel String Der Kanal des Ereignislogs, in dem das Log protokolliert wurde.
jsonPayload.ComputerName String Der Name des Computers, von dem dieses Log stammt.
jsonPayload.Data String Zusätzliche ereignisspezifische Daten im Log.
jsonPayload.EventCategory Zahl Die Kategorie des Ereignisses.
jsonPayload.EventID Zahl Eine ID, die den Typ des Ereignisses angibt.
jsonPayload.EventType String Der Ereignistyp.
jsonPayload.Message String Die Lognachricht.
jsonPayload.Qualifiers Zahl Eine Kennnummer, die zur Ereigniserkennung verwendet wird.
jsonPayload.RecordNumber Zahl Die Sequenznummer des Ereignislogs.
jsonPayload.Sid String Die Sicherheitskennung, die ein Sicherheitshauptkonto oder eine Sicherheitsgruppe des Prozesses identifiziert, das diese Nachricht protokolliert hat.
jsonPayload.SourceName String Die Quellkomponente, die diese Nachricht protokolliert hat.
jsonPayload.StringInserts []string Dynamische Stringdaten, die zum Erstellen der Lognachricht verwendet wurden.
jsonPayload.TimeGenerated String Zeitstempel, der angibt, wann der Eintrag generiert wurde.
jsonPayload.TimeWritten String Zeitstempel, der angibt, wann der Datensatz in das Ereignislog geschrieben wurde.
severity String (LogSeverity) Ebene des Logeintrags (übersetzt).

Messwerterfassung konfigurieren

Um Messwerte von AD DS aufzunehmen, müssen Sie einen Empfänger für die von AD DS generierten Messwerte erstellen und dann eine Pipeline für den neuen Empfänger erstellen.

Dieser Empfänger unterstützt die Verwendung mehrerer Instanzen in der Konfiguration, z. B. zum Überwachen mehrerer Endpunkte, nicht. Alle diese Instanzen schreiben in dieselbe Zeitachse und Cloud Monitoring kann sie nicht unterscheiden.

Um einen Empfänger für Ihre active_directory_ds-Messwerte zu konfigurieren, geben Sie die folgenden Felder an:

Feld Standard Beschreibung
collection_interval 60s Ein Wert für die Zeitdauer, z. B. 30s oder 5m.
type Der Wert muss active_directory_ds betragen.

Was wird überwacht?

In der folgende Tabelle werden alle Messwerte aufgeführt, die der Ops-Agent von der AD DS-Instanz erfasst.

Messwerttyp
Art, Typ
Überwachte Ressourcen
Labels
workload.googleapis.com/active_directory.ds.bind.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.ldap.bind.last_successful.time
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.bind.rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.client.session.count
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.search.rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.name_cache.hit_rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.notification.queued
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.operation.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.replication.network.io
CUMULATIVEINT64
gce_instance
direction
type
workload.googleapis.com/active_directory.ds.replication.object.rate
GAUGEDOUBLE
gce_instance
direction
workload.googleapis.com/active_directory.ds.replication.operation.pending
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.replication.property.rate
GAUGEDOUBLE
gce_instance
direction
workload.googleapis.com/active_directory.ds.replication.sync.object.pending
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.replication.sync.request.count
CUMULATIVEINT64
gce_instance
result
workload.googleapis.com/active_directory.ds.replication.value.rate
GAUGEDOUBLE
gce_instance
direction
type
workload.googleapis.com/active_directory.ds.security_descriptor_propagations_event.queued
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.suboperation.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.thread.count
GAUGEINT64
gce_instance
 

Konfiguration prüfen

In diesem Abschnitt wird beschrieben, wie Sie prüfen können, ob Sie den AD DS-Empfänger korrekt konfiguriert haben. Es kann ein oder zwei Minuten dauern, bis der Ops-Agent Telemetriedaten erfasst.

So prüfen Sie, ob AD DS-Logs an Cloud Logging gesendet werden:

  1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.

    Zum Log-Explorer

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.

  2. Geben Sie im Editor die folgende Abfrage ein und klicken Sie dann auf Abfrage ausführen:
    resource.type="gce_instance"
    log_id("active_directory_ds")
    

So prüfen Sie, ob AD DS-Messwerte an Cloud Monitoring gesendet werden:

  1. Rufen Sie in der Google Cloud Console die Seite Metrics Explorer auf.

    Zum Metrics Explorer

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Klicken Sie in der Symbolleiste des Bereichs "Query Builder" auf die Schaltfläche  MQL oder  PromQL.
  3. Prüfen Sie, ob MQL im Schalter Sprache ausgewählt ist. Die Sprachschaltfläche befindet sich in derselben Symbolleiste, mit der Sie Ihre Abfrage formatieren können.
  4. Geben Sie im Editor die folgende Abfrage ein und klicken Sie dann auf Abfrage ausführen:
    fetch gce_instance
    | metric 'workload.googleapis.com/active_directory.ds.bind.rate'
    | every 1m
    

Dashboard aufrufen

Damit Sie Ihre AD DS-Messwerte aufrufen können, müssen Sie ein Diagramm oder ein Dashboard konfiguriert haben. Die AD DS-Integration umfasst ein oder mehrere Dashboards. Alle Dashboards werden automatisch installiert, nachdem Sie die Integration konfiguriert haben und der Ops-Agent mit dem Erfassen von Messwertdaten begonnen hat.

Sie können auch eine statische Vorschau von Dashboards aufrufen, ohne die Integration zu installieren.

So rufen Sie ein installiertes Dashboard auf:

  1. Rufen Sie in der Google Cloud Console die Seite Dashboards auf.

    Dashboards aufrufen

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Wählen Sie den Tab Dashboard-Liste und dann die Kategorie Integrationen aus.
  3. Wählen Sie den Namen des Dashboards aus, das Sie aufrufen möchten.

Wenn Sie eine Integration konfiguriert haben, das Dashboard jedoch nicht installiert ist, prüfen Sie, ob der Ops-Agent ausgeführt wird. Wenn im Dashboard keine Messwertdaten für ein Diagramm vorhanden sind, schlägt die Installation des Dashboards fehl. Nachdem der Ops-Agent mit dem Erfassen von Messwerten begonnen hat, wird das Dashboard für Sie installiert.

So rufen Sie eine statische Vorschau des Dashboards auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Einbindungen:

    Zu „Integrationen“

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Klicken Sie auf den Filter für die Deployment-Plattform Compute Engine.
  3. Suchen Sie den Eintrag für AD DS und klicken Sie auf Details ansehen.
  4. Wählen Sie den Tab Dashboards aus, um eine statische Vorschau aufzurufen. Wenn das Dashboard installiert ist, können Sie es aufrufen. Klicken Sie dazu auf Dashboard aufrufen.

Weitere Informationen zu Dashboards in Cloud Monitoring finden Sie unter Dashboards und Diagramme.

Weitere Informationen zur Verwendung der Seite Integrationen finden Sie unter Integrationen verwalten.

Benachrichtigungsrichtlinien installieren

Durch Benachrichtigungsrichtlinien wird Cloud Monitoring angewiesen, Sie zu benachrichtigen, wenn bestimmte Bedingungen auftreten. Die AD DS-Integration enthält eine oder mehrere Benachrichtigungsrichtlinien, die Sie verwenden können. Sie können diese Benachrichtigungsrichtlinien auf der Seite Integrationen in Monitoring aufrufen und installieren.

So zeigen Sie die Beschreibungen der verfügbaren Benachrichtigungsrichtlinien an und installieren sie:

  1. Öffnen Sie in der Google Cloud Console die Seite Einbindungen:

    Zu „Integrationen“

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Suchen Sie den Eintrag für AD DS und klicken Sie auf Details ansehen.
  3. Wählen Sie den Tab Benachrichtigungen aus. Dieser Tab enthält Beschreibungen der verfügbaren Benachrichtigungsrichtlinien und eine Oberfläche für deren Installation.
  4. Installieren Sie Benachrichtigungsrichtlinien. Benachrichtigungsrichtlinien müssen wissen, wohin Benachrichtigungen gesendet werden sollen, dass die Benachrichtigung ausgelöst wurde. Daher benötigen sie Informationen von Ihnen für die Installation. So installieren Sie Benachrichtigungsrichtlinien:
    1. Wählen Sie aus der Liste der verfügbaren Benachrichtigungsrichtlinien die Richtlinien aus, die Sie installieren möchten.
    2. Wählen Sie im Abschnitt Benachrichtigungen konfigurieren einen oder mehrere Benachrichtigungskanäle aus. Sie haben die Möglichkeit, die Verwendung von Benachrichtigungskanälen zu deaktivieren. In diesem Fall werden Ihre Benachrichtigungsrichtlinien jedoch automatisch ausgelöst. Sie können ihren Status in Monitoring prüfen, aber Sie erhalten keine Benachrichtigungen.

      Weitere Informationen zu Benachrichtigungskanälen finden Sie unter Benachrichtigungskanäle verwalten.

    3. Klicken Sie auf Richtlinien erstellen.

Weitere Informationen zu Benachrichtigungsrichtlinien in Cloud Monitoring finden Sie unter Einführung in Benachrichtigungen.

Weitere Informationen zur Verwendung der Seite Integrationen finden Sie unter Integrationen verwalten.

Nächste Schritte

Eine Anleitung zur Installation von Ops-Agent mit Ansible zum Konfigurieren einer Drittanbieteranwendung und zum Installieren eines Beispieldashboards finden Sie im Video Ops-Agent installieren, um Fehler in Drittanbieteranwendungen zu beheben.