Active Directory Domain Services(AD DS)

AD DS(Active Directory 도메인 서비스)는 네트워크의 객체에 대한 정보를 저장하여 관리자와 사용자가 이 정보에 쉽게 액세스할 수 있도록 합니다.

AD DS에 대한 자세한 내용은 Active Directory 도메인 서비스(AD DS) 문서를 참조하세요.

기본 요건

AD DS 원격 분석을 수집하려면 운영 에이전트를 설치해야 합니다.

  • 측정항목의 경우 버전 2.15.0 이상을 설치합니다.
  • 로그에는 버전 2.15.0 이상을 설치합니다.

이 통합은 AD DS 버전 windows-server-2016 및 windows-server-2019를 지원합니다.

AD DS 인스턴스 구성

Active Directory Windows 이벤트 로그 및 성능 카운터는 기본적으로 사용 설정됩니다.

AD DS용 운영 에이전트 구성

작업 에이전트 구성 가이드에 따라 AD DS 인스턴스에서 원격 분석을 수집하는 데 필요한 요소를 추가하고 에이전트를 다시 시작합니다.

구성 예시

다음 명령어는 AD DS에 대해 원격 분석을 수집하고 처리하는 구성을 만들고 운영 에이전트를 다시 시작합니다.

$ErrorActionPreference = 'Stop'

# Create a back up of the existing file so existing configurations are not lost.
Copy-Item -Path 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' -Destination 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml.bak'

# Configure the Ops Agent.
Add-Content 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' "
logging:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds

metrics:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds
"

# Stop-Service may fail if the service isn't in a Running state yet.
(Get-Service google-cloud-ops-agent*).WaitForStatus('Running', '00:03:00')
Stop-Service google-cloud-ops-agent -Force
Start-Service google-cloud-ops-agent*

로그 수집 구성

AD DS의 로그를 수집하려면 AD DS가 생성하는 로그에 대한 수신자를 만들고 새 수신자에 대한 파이프라인을 만들어야 합니다.

active_directory_ds 로그의 수신자를 구성하려면 다음 필드를 지정합니다.

필드 기본값 설명
type 값은 active_directory_ds여야 합니다.

로깅되는 내용

logName은 구성에 지정된 수신자 ID에서 파생됩니다. LogEntry 내의 자세한 필드는 다음과 같습니다.

active_directory_ds 로그에는 LogEntry의 다음 필드가 포함됩니다.

필드 유형 설명
jsonPayload.Channel 문자열 로그가 기록된 이벤트 로그 채널입니다.
jsonPayload.ComputerName 문자열 이 로그가 시작된 컴퓨터의 이름입니다.
jsonPayload.Data 문자열 로그에 포함된 추가 이벤트 관련 데이터입니다.
jsonPayload.EventCategory 숫자 이벤트의 카테고리입니다.
jsonPayload.EventID 숫자 이벤트 유형을 식별하는 ID입니다.
jsonPayload.EventType 문자열 이벤트 유형입니다.
jsonPayload.Message 문자열 로그 메시지입니다.
jsonPayload.Qualifiers 숫자 이벤트 식별에 사용되는 한정자 번호입니다.
jsonPayload.RecordNumber 숫자 이벤트 로그의 시퀀스 번호입니다.
jsonPayload.Sid 문자열 이 메시지를 로깅한 프로세스의 보안 주 구성원 또는 보안 그룹을 식별하는 보안 식별자입니다.
jsonPayload.SourceName 문자열 이 메시지를 로깅한 소스 구성요소입니다.
jsonPayload.StringInserts []문자열 로그 메시지를 구성하는 데 사용된 동적 문자열 데이터입니다.
jsonPayload.TimeGenerated 문자열 레코드가 생성된 시간을 나타내는 타임스탬프입니다.
jsonPayload.TimeWritten 문자열 레코드가 이벤트 로그에 기록된 시간을 나타내는 타임스탬프입니다.

측정항목 수집 구성

AD DS의 측정항목을 수집하려면 AD DS가 생성하는 측정항목에 대한 수신자를 만들고 새 수신자에 대한 파이프라인을 만들어야 합니다.

이 수신자는 구성에서 여러 인스턴스 모니터링과 같은 여러 인스턴스의 사용을 지원하지 않습니다. 이러한 모든 인스턴스는 동일한 시계열에 기록되며, Cloud Monitoring은 이를 구분할 수 있는 방법이 없습니다.

active_directory_ds 측정항목의 수신자를 구성하려면 다음 필드를 지정합니다.

필드 기본값 설명
collection_interval 60s time.Duration 값(예: 30s 또는 5m)
type 값은 active_directory_ds여야 합니다.

모니터링 대상

다음 표에서는 운영 에이전트가 AD DS 인스턴스에서 수집하는 측정항목의 목록을 보여줍니다.

측정항목 유형
종류, 유형
모니터링 리소스
라벨
workload.googleapis.com/active_directory.ds.bind.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.ldap.bind.last_successful.time
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.bind.rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.client.session.count
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.search.rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.name_cache.hit_rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.notification.queued
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.operation.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.replication.network.io
CUMULATIVEINT64
gce_instance
direction
type
workload.googleapis.com/active_directory.ds.replication.object.rate
GAUGEDOUBLE
gce_instance
direction
workload.googleapis.com/active_directory.ds.replication.operation.pending
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.replication.property.rate
GAUGEDOUBLE
gce_instance
direction
workload.googleapis.com/active_directory.ds.replication.sync.object.pending
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.replication.sync.request.count
CUMULATIVEINT64
gce_instance
result
workload.googleapis.com/active_directory.ds.replication.value.rate
GAUGEDOUBLE
gce_instance
direction
type
workload.googleapis.com/active_directory.ds.security_descriptor_propagations_event.queued
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.suboperation.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.thread.count
GAUGEINT64
gce_instance
 

구성 확인

이 섹션에서는 AD DS 수신자를 올바르게 구성했는지 확인하는 방법을 설명합니다. 운영 에이전트에서 원격 분석 수집을 시작하려면 1~2분 정도 걸릴 수 있습니다.

AD DS 로그가 Cloud Logging으로 전송되고 있는지 확인하려면 다음을 수행합니다.

  1. Google Cloud 콘솔의 탐색 패널에서 Logging을 선택한 후 로그 탐색기를 선택합니다.

    로그 탐색기로 이동

  2. 편집기에 다음 쿼리를 입력한 후 쿼리 실행을 클릭합니다.
    resource.type="gce_instance"
    log_id("active_directory_ds")
    

AD DS 측정항목이 Cloud Monitoring으로 전송되고 있는지 확인하려면 다음을 수행합니다.

  1. Google Cloud 콘솔의 탐색 패널에서 Monitoring을 선택한 후 측정항목 탐색기를 선택합니다.

    측정항목 탐색기로 이동

  2. 쿼리 빌더 창의 툴바에서 이름이 MQL 또는 PromQL인 버튼을 선택합니다.
  3. 언어 전환 버튼에 MQL이 선택되어 있는지 확인합니다. 언어 전환 버튼은 쿼리 형식을 지정할 수 있는 동일한 툴바에 있습니다.
  4. 편집기에 다음 쿼리를 입력한 후 쿼리 실행을 클릭합니다.
    fetch gce_instance
    | metric 'workload.googleapis.com/active_directory.ds.bind.rate'
    | every 1m
    

대시보드 보기

AD DS 측정항목을 보려면 차트 또는 대시보드가 구성되어 있어야 합니다. AD DS 통합에는 대시보드가 하나 이상 포함됩니다. 통합을 구성하고 운영 에이전트가 측정항목 데이터 수집을 시작한 후 모든 대시보드가 자동으로 설치됩니다.

통합을 설치하지 않고도 대시보드의 정적 미리보기를 볼 수 있습니다.

설치된 대시보드를 보려면 다음을 수행합니다.

  1. Google Cloud 콘솔의 탐색 패널에서 Monitoring을 선택한 후 대시보드를 선택합니다.

    대시보드로 이동

  2. 대시보드 목록 탭을 선택한 후 통합 카테고리를 선택합니다.
  3. 확인할 대시보드의 이름을 클릭합니다.

통합을 구성했지만 대시보드가 설치되지 않은 경우 운영 에이전트가 실행 중인지 확인합니다. 대시보드에 차트의 측정항목 데이터가 없으면 대시보드 설치가 실패합니다. 운영 에이전트가 측정항목 수집을 시작하면 대시보드가 자동으로 설치됩니다.

대시보드의 정적 미리보기를 보려면 다음을 수행합니다.

  1. Google Cloud 콘솔의 탐색 패널에서 Monitoring을 선택한 후 통합을 선택합니다.

    통합으로 이동

  2. Compute Engine 배포 플랫폼 필터를 클릭합니다.
  3. AD DS 항목을 찾고 세부정보 보기를 클릭합니다.
  4. 정적 미리보기를 보려면 대시보드 탭을 선택합니다. 대시보드가 설치되어 있으면 대시보드 보기를 클릭하여 대시보드로 이동할 수 있습니다.

Cloud Monitoring의 대시보드에 대한 자세한 내용은 대시보드 및 차트를 참조하세요.

통합 페이지 사용에 대한 자세한 내용은 통합 관리를 참조하세요.

알림 정책 설치

알림 정책은 지정된 조건이 발생할 때 Cloud Monitoring에서 알림을 받도록 지시합니다. AD DS 통합에는 사용할 알림 정책이 하나 이상 포함됩니다. Monitoring의 통합 페이지에서 이러한 알림 정책을 보고 설치할 수 있습니다.

사용 가능한 알림 정책에 대한 설명을 보고 설치하려면 다음을 수행합니다.

  1. Google Cloud 콘솔의 탐색 패널에서 Monitoring을 선택한 후 통합을 선택합니다.

    통합으로 이동

  2. AD DS 항목을 찾고 세부정보 보기를 클릭합니다.
  3. 알림 탭을 선택합니다. 이 탭에는 사용 가능한 알림 정책에 대한 설명과 이를 설치하기 위한 인터페이스가 제공됩니다.
  4. 알림 정책을 설치합니다. 알림 정책은 경고가 트리거되었다는 알림을 전송할 위치를 알아야 하므로, 설치 시 사용자에게 해당 정보를 요청합니다. 알림 정책을 설치하려면 다음을 수행합니다.
    1. 사용 가능한 알림 정책 목록에서 설치할 정책을 선택합니다.
    2. 알림 구성 섹션에서 알림 채널을 하나 이상 선택합니다. 알림 채널 사용을 중지할 수 있지만 사용 중지하면 알림 정책이 자동으로 실행됩니다. Monitoring에서 상태를 확인할 수 있지만 알림이 수신되지 않습니다.

      알림 채널에 대한 자세한 내용은 알림 채널 관리를 참조하세요.

    3. 정책 만들기를 클릭합니다.

Cloud Monitoring의 알림 정책에 대한 자세한 내용은 알림 소개를 참조하세요.

통합 페이지 사용에 대한 자세한 내용은 통합 관리를 참조하세요.

다음 단계

Ansible을 사용하여 운영 에이전트를 설치하고, 서드파티 애플리케이션을 구성하고, 샘플 대시보드를 설치하는 방법은 운영 에이전트를 설치하여 서드파티 애플리케이션 문제 해결 동영상을 참조하세요.