Active Directory Domain Services (AD DS)

Les services de domaine Active Directory (AD DS) stockent des informations sur les objets du réseau afin que les administrateurs et les utilisateurs puissent facilement y accéder.

Pour en savoir plus sur AD DS, consultez la documentation sur les services de domaine Active Directory (AD DS).

Prérequis

Pour collecter les données de télémétrie AD DS, vous devez installer l'agent Ops :

  • Pour les métriques, installez la version 2.15.0 ou ultérieure.
  • Pour les journaux, installez la version 2.15.0 ou ultérieure.

Cette intégration est compatible avec les versions AD DS windows-server-2016 et windows-server-2019.

Configurer une instance AD DS

Les journaux d'événements et les compteurs de performances Windows Active Directory sont activés par défaut.

Configurer l'agent Ops pour AD DS

En suivant le guide de configuration de l'agent Ops, ajoutez les éléments requis pour collecter les données de télémétrie des instances AD DS, puis redémarrez l'agent.

Exemple de configuration

Les commandes suivantes créent la configuration permettant de collecter et d'ingérer les données de télémétrie pour AD DS, et redémarre l'agent Ops:

$ErrorActionPreference = 'Stop'

# Create a back up of the existing file so existing configurations are not lost.
Copy-Item -Path 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' -Destination 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml.bak'

# Configure the Ops Agent.
Add-Content 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' "
logging:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds

metrics:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds
"

# Stop-Service may fail if the service isn't in a Running state yet.
(Get-Service google-cloud-ops-agent*).WaitForStatus('Running', '00:03:00')
Stop-Service google-cloud-ops-agent -Force
Start-Service google-cloud-ops-agent*

Configurer la collecte de journaux

Pour ingérer des journaux depuis AD DS, vous devez créer des récepteurs pour les journaux créés par AD DS, puis créer un pipeline pour les nouveaux récepteurs.

Pour configurer un récepteur pour vos journaux active_directory_ds, spécifiez les champs suivants :

Champ Par défaut Description
type La valeur doit être égale à active_directory_ds.

Contenu consigné

Le champ logName est dérivé des ID de récepteur spécifiés dans la configuration. Les champs détaillés dans l'entrée de journal (LogEntry) sont les suivants.

Les journaux active_directory_ds contiennent les champs suivants dans LogEntry :

Champ Type Description
jsonPayload.Channel chaîne Canal des journaux d'événements dans lequel le journal a été consigné.
jsonPayload.ComputerName chaîne Nom de l'ordinateur d'où provient ce journal.
jsonPayload.Data chaîne Données supplémentaires spécifiques à l'événement incluses dans le journal.
jsonPayload.EventCategory nombre Catégorie de l'événement.
jsonPayload.EventID nombre ID identifiant le type d'événement.
jsonPayload.EventType chaîne Type d'événement.
jsonPayload.Message chaîne Message de journal.
jsonPayload.Qualifiers nombre Numéro de qualificatif utilisé pour l'identification de l'événement.
jsonPayload.RecordNumber nombre Numéro de séquence du journal des événements.
jsonPayload.Sid chaîne Identifiant de sécurité identifiant un compte principal de sécurité ou un groupe de sécurité du processus qui a consigné ce message.
jsonPayload.SourceName chaîne Composant source ayant enregistré ce message.
jsonPayload.StringInserts []chaîne Données de chaîne dynamiques utilisées pour créer le message de journal.
jsonPayload.TimeGenerated chaîne Horodatage correspondant au moment où l'enregistrement a été généré.
jsonPayload.TimeWritten chaîne Horodatage correspondant au moment où l'enregistrement a été écrit dans le journal des événements.

Configurer la collecte de métriques

Pour ingérer des métriques depuis AD DS, vous devez créer des récepteurs pour les métriques créées par AD DS, puis créer un pipeline pour les nouveaux récepteurs.

Ce récepteur ne permet pas d'utiliser plusieurs instances dans la configuration, par exemple pour surveiller plusieurs points de terminaison. Toutes ces instances écrivent dans la même série temporelle, et Cloud Monitoring n'a aucun moyen de les distinguer.

Pour configurer un récepteur pour vos métriques active_directory_ds, spécifiez les champs suivants :

Champ Par défaut Description
collection_interval 60s Une valeur time.Duration, telle que 30s ou 5m.
type La valeur doit être égale à active_directory_ds.

Métriques surveillées

Le tableau suivant fournit la liste des métriques que l'agent Ops collecte à partir de l'instance AD DS.

Type de métrique
Genre, type
Ressources surveillées
Libellés
workload.googleapis.com/active_directory.ds.bind.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.ldap.bind.last_successful.time
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.bind.rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.client.session.count
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.search.rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.name_cache.hit_rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.notification.queued
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.operation.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.replication.network.io
CUMULATIVEINT64
gce_instance
direction
type
workload.googleapis.com/active_directory.ds.replication.object.rate
GAUGEDOUBLE
gce_instance
direction
workload.googleapis.com/active_directory.ds.replication.operation.pending
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.replication.property.rate
GAUGEDOUBLE
gce_instance
direction
workload.googleapis.com/active_directory.ds.replication.sync.object.pending
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.replication.sync.request.count
CUMULATIVEINT64
gce_instance
result
workload.googleapis.com/active_directory.ds.replication.value.rate
GAUGEDOUBLE
gce_instance
direction
type
workload.googleapis.com/active_directory.ds.security_descriptor_propagations_event.queued
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.suboperation.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.thread.count
GAUGEINT64
gce_instance
 

Vérifier la configuration

Cette section explique comment vérifier que vous avez bien configuré le récepteur AD DS. La collecte de la télémétrie par l'agent Ops peut prendre une ou deux minutes.

Pour vérifier que les journaux AD DS sont envoyés à Cloud Logging, procédez comme suit :

  1. Dans le panneau de navigation de la console Google Cloud, sélectionnez Logging, puis Explorateur de journaux :

    Accéder à l'explorateur de journaux

  2. Saisissez la requête suivante dans l'éditeur, puis cliquez sur Exécuter la requête :
    resource.type="gce_instance"
    log_id("active_directory_ds")
    

Pour vérifier que les métriques AD DS sont envoyées à Cloud Monitoring, procédez comme suit :

  1. Dans le panneau de navigation de la console Google Cloud, sélectionnez Monitoring, puis  Explorateur de métriques :

    Accéder à l'explorateur de métriques

  2. Dans la barre d'outils du volet de création de requêtes, sélectionnez le bouton dont le nom est  MQL ou  PromQL.
  3. Vérifiez que MQL est sélectionné dans le bouton Langage. Le bouton de langage se trouve dans la barre d'outils qui vous permet de mettre en forme votre requête.
  4. Saisissez la requête suivante dans l'éditeur, puis cliquez sur Exécuter la requête :
    fetch gce_instance
    | metric 'workload.googleapis.com/active_directory.ds.bind.rate'
    | every 1m
    

Afficher le tableau de bord

Pour afficher vos métriques AD DS, vous devez configurer un graphique ou un tableau de bord. L'intégration AD DS inclut un ou plusieurs tableaux de bord. Tous les tableaux de bord sont automatiquement installés après la configuration de l'intégration et que l'agent Ops a commencé à collecter des données de métriques.

Vous pouvez également afficher des aperçus statiques de tableaux de bord sans installer l'intégration.

Pour afficher un tableau de bord installé, procédez comme suit :

  1. Dans le panneau de navigation de la console Google Cloud, sélectionnez Monitoring, puis  Tableaux de bord :

    Accéder à la page Tableaux de bord

  2. Sélectionnez l'onglet Liste des tableaux de bord, puis choisissez la catégorie Intégrations.
  3. Cliquez sur le nom du tableau de bord que vous souhaitez afficher.

Si vous avez configuré une intégration, mais que le tableau de bord n'a pas été installé, vérifiez que l'agent Ops est en cours d'exécution. Lorsqu'un graphique ne contient aucune donnée de métrique, l'installation du tableau de bord échoue. Une fois que l'agent Ops a commencé à collecter des métriques, le tableau de bord est installé.

Pour afficher un aperçu statique du tableau de bord, procédez comme suit :

  1. Dans le panneau de navigation de la console Google Cloud, sélectionnez Monitoring, puis  Intégrations :

    Accéder à la page Intégrations

  2. Cliquez sur le filtre de plate-forme de déploiement Compute Engine.
  3. Recherchez l'entrée pour AD DS, puis cliquez sur Afficher les détails.
  4. Cliquez sur l'onglet Tableaux de bord pour afficher un aperçu statique. Si le tableau de bord est installé, vous pouvez y accéder en cliquant sur Afficher le tableau de bord.

Pour en savoir plus sur les tableaux de bord dans Cloud Monitoring, consultez la page Tableaux de bord et graphiques.

Pour en savoir plus sur l'utilisation de la page Intégrations, consultez la page Gérer les intégrations.

Installer des règles d'alerte

Les règles d'alerte indiquent à Cloud Monitoring de vous avertir lorsque des conditions spécifiées se produisent. L'intégration AD DS inclut une ou plusieurs règles d'alerte. Vous pouvez afficher et installer ces règles d'alerte à partir de la page Intégrations dans Monitoring.

Pour afficher la description des règles d'alerte disponibles et les installer, procédez comme suit :

  1. Dans le panneau de navigation de la console Google Cloud, sélectionnez Monitoring, puis  Intégrations :

    Accédez à la page Intégrations

  2. Recherchez l'entrée pour AD DS, puis cliquez sur Afficher les détails.
  3. Sélectionnez l'onglet Alertes. Cet onglet fournit une description des règles d'alerte disponibles et fournit une interface pour les installer.
  4. Installez les règles d'alerte. Les règles d'alerte doivent savoir où envoyer des notifications indiquant que l'alerte a été déclenchée. Elles nécessitent donc des informations de votre part pour l'installation. Pour installer des règles d'alerte, procédez comme suit :
    1. Dans la liste des règles d'alerte disponibles, sélectionnez celles que vous souhaitez installer.
    2. Dans la section Configurer les notifications, sélectionnez un ou plusieurs canaux de notification. Vous avez la possibilité de désactiver l'utilisation des canaux de notification. Toutefois, si vous le faites, vos règles d'alerte se déclenchent en mode silencieux. Vous pouvez vérifier leur état dans Monitoring, mais vous ne recevez aucune notification.

      Pour plus d'informations sur les canaux de notification, consultez la section Gérer les canaux de notification.

    3. Cliquez sur Créer des règles.

Pour plus d'informations sur les règles d'alerte dans Cloud Monitoring, consultez la section Présentation des alertes.

Pour en savoir plus sur l'utilisation de la page Intégrations, consultez la page Gérer les intégrations.

Étapes suivantes

Pour accéder à un tutoriel pas à pas expliquant comment utiliser Ansible pour installer l'agent Ops, configurer une application tierce et installer un exemple de tableau de bord, consultez la vidéo Install the Ops Agent to troubleshoot third-party applications (Installer l'agent Ops pour résoudre les problèmes liés à des applications tierces).