Active Directory Domain Services (AD DS)

O Active Directory Domain Services (AD DS) armazena informações sobre objetos na rede para que administradores e usuários possam acessá-las facilmente.

Para mais informações sobre o AD DS, consulte a documentação do Active Directory Domain Services (AD DS).

Pré-requisitos

Para coletar a telemetria do AD DS, é preciso instalar o agente de operações:

  • Para métricas, instale a versão 2.15.0 ou mais recente.
  • Para registros, instale a versão 2.15.0 ou posterior.

Essa integração é compatível com as versões do AD DS windows-server-2016 e windows-server-2019.

Configurar sua instância do AD DS

Por padrão, os contadores de desempenho e os logs de eventos do Windows do Active Directory estão ativados.

Configurar o agente de operações para o AD DS

Seguindo o guia para configurar o agente de operações, adicione os elementos necessários para coletar a telemetria das instâncias do AD DS e reinicie o agente.

Exemplo de configuração

Os comandos a seguir criam a configuração para coletar e ingerir telemetria para o DS DS e reinicia o agente de operações:

$ErrorActionPreference = 'Stop'

# Create a back up of the existing file so existing configurations are not lost.
Copy-Item -Path 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' -Destination 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml.bak'

# Configure the Ops Agent.
Add-Content 'C:\Program Files\Google\Cloud Operations\Ops Agent\config\config.yaml' "
logging:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds

metrics:
  receivers:
    active_directory_ds:
      type: active_directory_ds
  service:
    pipelines:
      active_directory_ds:
        receivers:
        - active_directory_ds
"

# Stop-Service may fail if the service isn't in a Running state yet.
(Get-Service google-cloud-ops-agent*).WaitForStatus('Running', '00:03:00')
Stop-Service google-cloud-ops-agent -Force
Start-Service google-cloud-ops-agent*

Configurar a coleta de registros

Para ingerir registros do AD DS, você precisa criar receptores para os registros produzidos pelo AD DS e, em seguida, criar um pipeline para os novos receptores.

active_directory_dsPara configurar um receptor para os registros , especifique os seguintes campos:

Campo Padrão Descrição
type O valor precisa ser active_directory_ds.

O que é registrado

O logName é derivado dos IDs do receptor especificados na configuração. Os campos detalhados dentro de LogEntry são os seguintes.

Os registros active_directory_ds contêm os seguintes campos no LogEntry:

Campo Tipo Descrição
jsonPayload.Channel string Canal de log de eventos em que o log foi registrado.
jsonPayload.ComputerName string O nome do computador de origem do log.
jsonPayload.Data string Dados extras específicos do evento incluídos no registro.
jsonPayload.EventCategory number A categoria do evento.
jsonPayload.EventID number Um ID que identifica o tipo do evento.
jsonPayload.EventType string O tipo de evento.
jsonPayload.Message string A mensagem de registro.
jsonPayload.Qualifiers number Um número de qualificador usado para a identificação de eventos.
jsonPayload.RecordNumber number O número da sequência do log de eventos.
jsonPayload.Sid string O identificador de segurança que identifica o principal ou o grupo de segurança do processo que registrou a mensagem.
jsonPayload.SourceName string O componente de origem que registrou esta mensagem.
jsonPayload.StringInserts []string Dados de string dinâmicos usados para criar a mensagem de registro.
jsonPayload.TimeGenerated string Um carimbo de data/hora que representa quando o registro foi gerado.
jsonPayload.TimeWritten string Um carimbo de data/hora que representa quando o registro foi gravado no log de eventos.

Configurar a coleta de métricas

Para ingerir métricas do AD DS, você precisa criar um receptor para as métricas produzidas pelo AD DS e, em seguida, criar um pipeline para o novo receptor.

Esse receptor não aceita o uso de várias instâncias na configuração, por exemplo, para monitorar vários endpoints. Todas essas instâncias gravam na mesma série temporal, e o Cloud Monitoring não tem como diferenciá-las.

Para configurar um receptor para suas métricas do active_directory_ds, especifique os campos a seguir:

Campo Padrão Descrição
collection_interval 60s Um valor de time.Duration, como 30s ou 5m.
type O valor precisa ser active_directory_ds.

O que é monitorado?

A tabela a seguir fornece a lista de métricas que o agente de operações coleta da instância do AD DS.

Tipo de métrica 
Tipo, tipo
Recursos monitorados
Rótulos
workload.googleapis.com/active_directory.ds.bind.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.ldap.bind.last_successful.time
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.bind.rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.client.session.count
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.ldap.search.rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.name_cache.hit_rate
GAUGEDOUBLE
gce_instance
 
workload.googleapis.com/active_directory.ds.notification.queued
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.operation.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.replication.network.io
CUMULATIVEINT64
gce_instance
direction
type
workload.googleapis.com/active_directory.ds.replication.object.rate
GAUGEDOUBLE
gce_instance
direction
workload.googleapis.com/active_directory.ds.replication.operation.pending
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.replication.property.rate
GAUGEDOUBLE
gce_instance
direction
workload.googleapis.com/active_directory.ds.replication.sync.object.pending
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.replication.sync.request.count
CUMULATIVEINT64
gce_instance
result
workload.googleapis.com/active_directory.ds.replication.value.rate
GAUGEDOUBLE
gce_instance
direction
type
workload.googleapis.com/active_directory.ds.security_descriptor_propagations_event.queued
GAUGEINT64
gce_instance
 
workload.googleapis.com/active_directory.ds.suboperation.rate
GAUGEDOUBLE
gce_instance
type
workload.googleapis.com/active_directory.ds.thread.count
GAUGEINT64
gce_instance
 

Verificar a configuração

Esta seção descreve como verificar se você configurou corretamente o receptor do AD DS. Pode levar um ou dois minutos para que o agente de operações comece a coletar telemetria.

Para verificar se os registros do DS estão sendo enviados para o Cloud Logging, faça o seguinte:

  1. No painel de navegação do console do Google Cloud, selecione Logging e, depois, Explorador de registros:

    Acessar o Explorador de registros

  2. Digite a consulta a seguir no Editor e clique em Executar consulta:
    resource.type="gce_instance"
    log_id("active_directory_ds")
    

Para verificar se as métricas do DS estão sendo enviadas para o Cloud Monitoring, faça o seguinte:

  1. No painel de navegação do console do Google Cloud, selecione Monitoramento e  Metrics Explorer:

    Acesse o Metrics explorer

  2. Na barra de ferramentas do painel do criador de consultas, selecione o botão  MQL ou  PromQL.
  3. Verifique se MQL está selecionado na opção de ativar/desativar Idioma. A alternância de idiomas está na mesma barra de ferramentas que permite formatar sua consulta.
  4. Digite a consulta a seguir no Editor e clique em Executar consulta:
    fetch gce_instance
    | metric 'workload.googleapis.com/active_directory.ds.bind.rate'
    | every 1m
    

Ver painel

Para visualizar as métricas do AD DS, é necessário ter um gráfico ou um painel configurado. A integração do AD DS inclui um ou mais painéis para você. Todos os painéis são instalados automaticamente depois que você configura a integração e o Agente de operações começa a coletar dados de métricas.

Também é possível ver visualizações estáticas de painéis sem instalar a integração.

Para ver um painel instalado, faça o seguinte:

  1. No painel de navegação do console do Google Cloud, selecione Monitoramento e  Painéis:

    Ir para Painéis

  2. Selecione a guia Lista de painéis e escolha a categoria Integrações.
  3. Clique no nome do painel que você quer visualizar.

Se você configurou uma integração, mas o painel não foi instalado, verifique se o agente de operações está em execução. Quando não há dados de métricas para um gráfico no painel, a instalação do painel falha. Depois que o Agente de operações começar a coletar métricas, o painel será instalado para você.

Para acessar uma visualização estática do painel, faça o seguinte:

  1. No painel de navegação do console do Google Cloud, selecione Monitoramento e  Integrações:

    Acessar Integrações

  2. Clique no filtro de plataforma de implantação do Compute Engine.
  3. Localize a entrada do AD DS e clique em Ver detalhes.
  4. Selecione a guia Painéis para uma visualização estática. Se o painel estiver instalado, navegue até ele clicando em Ver painel.

Para mais informações sobre painéis no Cloud Monitoring, consulte Painéis e gráficos.

Para mais informações sobre como usar a página Integrações, consulte Gerenciar integrações.

Instalar políticas de alertas

As políticas de alertas orientam o Cloud Monitoring a notificar você quando ocorrerem condições especificadas. A integração do AD DS inclui uma ou mais políticas de alertas para você usar. É possível ver e instalar essas políticas de alertas na página Integrações no Monitoring.

Para visualizar e descrever as descrições de políticas de alertas disponíveis, faça o seguinte:

  1. No painel de navegação do console do Google Cloud, selecione Monitoramento e  Integrações:

    Acessar Integrações

  2. Localize a entrada do AD DS e clique em Ver detalhes.
  3. Selecione a guia Alertas. Essa guia apresenta descrições das políticas de alertas disponíveis e mostra uma interface para instalá-las.
  4. Instalar políticas de alertas. As políticas de alertas precisam saber para onde enviar as notificações de que o alerta foi acionado. Portanto, elas exigem informações para instalação. Para instalar políticas de alertas, faça o seguinte:
    1. Na lista de políticas de alertas disponíveis, selecione aquelas que você quer instalar.
    2. Na seção Configurar notificações, selecione um ou mais canais de notificação. Você pode desativar o uso dos canais de notificação, mas, se isso acontecer, as políticas de alertas vão ser disparadas silenciosamente. É possível verificar o status no Monitoring, mas não receber notificações.

      Para saber mais sobre canais de notificação, consulte Gerenciar canais de notificação.

    3. Clique em Criar políticas.

Para mais informações sobre políticas de alertas no Cloud Monitoring, consulte Introdução a alertas.

Para mais informações sobre como usar a página Integrações, consulte Gerenciar integrações.

A seguir

Para ver um tutorial sobre como usar o Ansible para instalar o agente de operações, configurar um aplicativo de terceiros e instalar um painel de amostra, consulte o vídeo Instalação do agente de operações para resolver problemas de aplicativos de terceiros.