Active Directory ドメイン サービス(AD DS)

Active Directory ドメイン サービス(AD DS)は、ネットワーク上のオブジェクトに関する情報を格納します。管理者とユーザーはこの情報に簡単にアクセスできます。

AD DS の詳細については、Active Directory ドメイン サービス(AD DS)のドキュメントをご覧ください。

前提条件

AD DS テレメトリーを収集するには、Ops エージェントをインストールする必要があります。

  • 指標の場合は、バージョン 2.15.0 以降をインストールします。
  • ログの場合は、バージョン 2.15.0 以降をインストールします。

この統合は、AD DS の windows-server-2016 および windows-server-2019 バージョンをサポートしています。

AD DS インスタンスを構成する

デフォルトでは、Active Directory の Windows イベントログとパフォーマンス カウンタが有効になっています。

AD DS 用に Ops エージェントを構成する

Ops エージェントの構成のガイドに従って、AD DS インスタンスからテレメトリーを収集するために必要な要素を追加し、エージェントを再起動します。

構成の例

次のコマンドは、AD DS のテレメトリーを収集して取り込み、Ops エージェントを再起動するための構成を作成します。

$ErrorActionPreference = 'Stop'

# Create a back up of the existing file so existing configurations are not lost.
Copy-Item -Path 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' -Destination 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml.bak'

# Configure the Ops Agent.
Add-Content 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' "
logging:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds

metrics:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds
"

# Stop-Service may fail if the service isn't in a Running state yet.
(Get-Service google-cloud-ops-agent*).WaitForStatus('Running', '00:03:00')
Stop-Service google-cloud-ops-agent -Force
Start-Service google-cloud-ops-agent*

ログの収集を構成する

AD DS からログを取り込むには、AD DS が生成するログのレシーバーを作成してから、新しいレシーバー用のパイプラインを作成する必要があります。

active_directory_ds ログのレシーバーを構成するには、次のフィールドを指定します。

フィールド デフォルト 説明
type 値は active_directory_ds を指定してください。

ログの内容

logName は、構成で指定されたレシーバ ID から取得されます。LogEntry 内の詳細なフィールドは、次のとおりです。

active_directory_ds ログの LogEntry には次のフィールドが含まれます。

フィールド タイプ 説明
jsonPayload.Channel 文字列 ログが記録されたイベントログ チャネル。
jsonPayload.ComputerName 文字列 このログの取得元のコンピュータ名。
jsonPayload.Data 文字列 ログに含まれるイベント固有の追加データ。
jsonPayload.EventCategory 数値 イベントのカテゴリ。
jsonPayload.EventID 数値 イベントタイプを識別する ID。
jsonPayload.EventType 文字列 イベントタイプ。
jsonPayload.Message 文字列 ログ メッセージ。
jsonPayload.Qualifiers 数値 イベントの識別に使用される修飾子番号。
jsonPayload.RecordNumber 数値 イベントログのシーケンス番号。
jsonPayload.Sid 文字列 このメッセージを記録したプロセスのセキュリティ プリンシパルまたはセキュリティ グループを識別するセキュリティ ID。
jsonPayload.SourceName 文字列 このメッセージをログに記録したソース コンポーネント。
jsonPayload.StringInserts 文字列 ログ メッセージの作成に使用された動的文字列データ。
jsonPayload.TimeGenerated 文字列 レコードが生成された日時を表すタイムスタンプ。
jsonPayload.TimeWritten 文字列 レコードがイベントログに書き込まれた時間を表すタイムスタンプ。
severity 文字列(LogSeverity ログエントリ レベル(変換済み)。

指標の収集を構成する

AD DS から指標を取り込むには、AD DS が生成する指標のレシーバーを作成してから、新しいレシーバーのパイプラインを作成する必要があります。

このレシーバーでは、複数のエンドポイントのモニタリングなど、構成で複数のインスタンスを使用することはできません。このようなインスタンスはすべて同じ時系列に書き込まれるため、Cloud Monitoring ではインスタンスを区別できません。

active_directory_ds 指標のレシーバーを構成するには、次のフィールドを指定します。

フィールド デフォルト 説明
collection_interval 60s 期間の値(例: 30s5m)。
type 値は active_directory_ds を指定してください。

モニタリング対象

次の表に、Ops エージェントが AD DS インスタンスから収集する指標の一覧を示します。

指標タイプ
種類、タイプ
モニタリング対象リソース		 ラベル
workload.googleapis.com/active_directory.ds.bind.rate
GAUGEDOUBLE
gce_instance 		type
workload.googleapis.com/active_directory.ds.ldap.bind.last_successful.time
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.ldap.bind.rate
GAUGEDOUBLE
gce_instance 		 
workload.googleapis.com/active_directory.ds.ldap.client.session.count
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.ldap.search.rate
GAUGEDOUBLE
gce_instance 		 
workload.googleapis.com/active_directory.ds.name_cache.hit_rate
GAUGEDOUBLE
gce_instance 		 
workload.googleapis.com/active_directory.ds.notification.queued
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.operation.rate
GAUGEDOUBLE
gce_instance 		type
workload.googleapis.com/active_directory.ds.replication.network.io
CUMULATIVEINT64
gce_instance 		direction
type
workload.googleapis.com/active_directory.ds.replication.object.rate
GAUGEDOUBLE
gce_instance 		direction
workload.googleapis.com/active_directory.ds.replication.operation.pending
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.replication.property.rate
GAUGEDOUBLE
gce_instance 		direction
workload.googleapis.com/active_directory.ds.replication.sync.object.pending
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.replication.sync.request.count
CUMULATIVEINT64
gce_instance 		result
workload.googleapis.com/active_directory.ds.replication.value.rate
GAUGEDOUBLE
gce_instance 		direction
type
workload.googleapis.com/active_directory.ds.security_descriptor_propagations_event.queued
GAUGEINT64
gce_instance 		 
workload.googleapis.com/active_directory.ds.suboperation.rate
GAUGEDOUBLE
gce_instance 		type
workload.googleapis.com/active_directory.ds.thread.count
GAUGEINT64
gce_instance 		 

構成を確認する

このセクションでは、AD DS レシーバーが正しく構成されていることを確認する方法について説明します。Ops エージェントがテレメトリーの収集を開始するまでに 1~2 分かかる場合があります。

AD DS ログが Cloud Logging に送信されていることを確認するには、次の操作を行います。

  1. Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが「Logging」の結果を選択します。

  2. エディタに次のクエリを入力し、[クエリを実行] をクリックします。
    resource.type="gce_instance"
log_id("active_directory_ds")

AD DS 指標が Cloud Monitoring に送信されていることを確認するには、次のようにします。

  1. Google Cloud コンソールで、[Metrics Explorer] ページに移動します。

    Metrics Explorer に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] の結果を選択します。

  2. クエリビルダー ペインのツールバーで、[MQL] または [PROMQL] という名前のボタンを選択します。
  3. [言語] で [MQL] が選択されていることを確認します。言語切り替えボタンは、クエリの書式設定と同じツールバーにあります。
  4. エディタに次のクエリを入力し、[クエリを実行] をクリックします。
    fetch gce_instance
| metric 'workload.googleapis.com/active_directory.ds.bind.rate'
| every 1m

ダッシュボードを表示する

AD DS 指標を表示するには、グラフまたはダッシュボードが構成されている必要があります。AD DS インテグレーションには、1 つ以上のダッシュボードが含まれています。インテグレーションを構成して Ops エージェントが指標データの収集を開始すると、ダッシュボードは自動的にインストールされます。

インテグレーションをインストールすることなく、ダッシュボードの静的プレビューを表示することもできます。

インストールされているダッシュボードを表示する手順は次のとおりです。

  1. Google Cloud コンソールで [ダッシュボード] ページに移動します。

    [ダッシュボード] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] の結果を選択します。

  2. [ダッシュボード リスト] タブを選択し、[統合] カテゴリを選択します。
  3. 表示するダッシュボードの名前をクリックします。

インテグレーションを構成してもダッシュボードがインストールされていない場合は、Ops エージェントが実行されていることを確認します。ダッシュボードにグラフの指標データがない場合、ダッシュボードのインストールは失敗します。Ops エージェントが指標の収集を開始した後に、ダッシュボードがインストールされます。

ダッシュボードの静的プレビューを表示する手順は次のとおりです。

  1. Google Cloud コンソールで [インテグレーション] ページに移動します。

    [インテグレーション] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] の結果を選択します。

  2. [デプロイメント プラットフォーム] フィルタの [Compute Engine] をクリックします。
  3. AD DS のエントリを見つけて、[詳細を表示] をクリックします。
  4. [ダッシュボード] タブを選択すると、静的プレビューが表示されます。ダッシュボードがインストールされている場合は、[ダッシュボードを表示] をクリックして移動できます。

Cloud Monitoring のダッシュボードについて詳しくは、ダッシュボードとグラフをご覧ください。

[インテグレーション] ページの使用方法については、インテグレーションを管理するをご覧ください。

アラート ポリシーをインストールする

アラート ポリシーは、指定した条件が成立した際に通知するように Cloud Monitoring に指示します。AD DS インテグレーションには、ユーザーが使用できる 1 つ以上のアラート ポリシーが含まれています。これらのアラート ポリシーは、Monitoring の [インテグレーション] ページで表示してインストールできます。

使用可能なアラート ポリシーの説明を表示してインストールする手順は次のとおりです。

  1. Google Cloud コンソールで [統合] ページに移動します。

    [インテグレーション] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] の結果を選択します。

  2. AD DS のエントリを見つけて、[詳細を表示] をクリックします。
  3. [アラート] タブを選択します。このタブには、利用可能なアラート ポリシーの説明と、それらをインストールするためのインターフェースが表示されます。
  4. アラート ポリシーをインストールします。アラート ポリシーでは、アラートがトリガーされた通知の送信先を特定する必要があるため、インストール環境の情報が必要になります。アラート ポリシーをインストールする手順は次のとおりです。
    1. 利用可能なアラート ポリシーのリストから、インストールするアラート ポリシーを選択します。

    2. [通知の構成] セクションで、1 つ以上の通知チャンネルを選択します。通知チャンネルの使用を無効にすることもできますが、無効にすると、アラート ポリシーは通知なく起動します。Monitoring でステータスを確認できますが、通知は受信しません。

      通知チャンネルの詳細については、通知チャンネルを管理するをご覧ください。

    3. [ポリシーの作成] をクリックします。

Cloud Monitoring のアラート ポリシーの詳細については、アラートの概要をご覧ください。

[インテグレーション] ページの使用方法については、インテグレーションを管理するをご覧ください。

次のステップ

Ansible を使用して Ops エージェントをインストールし、サードパーティ アプリケーションを構成してサンプル ダッシュボードをインストールする方法についてのチュートリアルは、Ops エージェントをインストールして、サードパーティ アプリケーションのトラブルシューティングを行うの動画をご覧ください。