Audit-Logging für eine Domain einrichten

In diesem Thema wird beschrieben, wie Sie Managed Microsoft AD-Audit-Logs für eine Domain aktivieren und anzeigen. Informationen zu Cloud-Audit-Logs für Managed Microsoft AD finden Sie unter Audit-Logging für Managed Microsoft AD.

Managed Microsoft AD-Audit-Logs aktivieren

Sie können Managed Microsoft AD-Audit-Logs während der Domainerstellung oder durch Aktualisieren einer vorhandenen Domain aktivieren.

Bei der Domainerstellung

Führen Sie den folgenden gcloud CLI-Befehl aus, um Managed Microsoft AD-Audit-Logs während der Domainerstellung zu aktivieren.

gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs

Vorhandene Domain aktualisieren

Führen Sie die folgenden Schritte aus, um eine Domain zum Aktivieren von Managed Microsoft AD-Audit-Logs zu aktualisieren.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Managed Microsoft AD.
    Zur Seite "Managed Microsoft AD"
  2. Wählen Sie auf der Seite Managed Microsoft AD in der Liste der Instanzen die Domain aus, für die Sie Audit-Logs aktivieren möchten.
  3. Wählen Sie auf der Seite "Domain-Details" die Option Audit-Logs ansehen und dann Logs konfigurieren aus dem Drop-down-Menü aus.
  4. Setzen Sie im Bereich Audit-Logs konfigurieren unter Logs deaktivieren/aktivieren die Logs auf Ein.

gcloud

Führen Sie den folgenden gcloud CLI-Befehl aus.

gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs

Sie können Logausschlüsse verwenden, um das zu beschränken, was in Logs protokolliert wird.

Die in Ihrem Projekt gespeicherten Logs sind kostenpflichtig. Weitere Informationen zu Cloud Logging-Preisen

Managed Microsoft AD-Audit-Logs deaktivieren

Führen Sie die folgenden Schritte aus, um Managed Microsoft AD-Audit-Logs zu deaktivieren.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Managed Microsoft AD.
    Zur Seite "Managed Microsoft AD"
  2. Wählen Sie auf der Seite Managed Microsoft AD in der Liste der Instanzen die Domain aus, für die Sie Audit-Logs deaktivieren möchten.
  3. Wählen Sie auf der Seite "Domain-Details" die Option Audit-Logs ansehen und dann Logs konfigurieren aus dem Drop-down-Menü aus.
  4. Setzen Sie im Bereich Audit-Logs konfigurieren unter Logs deaktivieren/Aktivieren die Logs auf Aus.

gcloud

Führen Sie den folgenden gcloud CLI-Befehl aus.

gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs

Logging-Status prüfen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob das Logging aktiviert oder deaktiviert ist. Führen Sie dazu den folgenden Befehl der gcloud CLI aus:

gcloud active-directory domains describe DOMAIN_NAME

Prüfen Sie in der Antwort den Wert des Felds auditLogsEnabled.

Logs ansehen

Managed Microsoft AD-Audit-Logs sind nur für Domains verfügbar, für die das Erfassen von Protokollen aktiviert ist.

Zum Aufrufen von Managed Microsoft AD-Audit-Logs benötigen Sie die IAM-Berechtigung roles/logging.viewer (Identity and Access Management). Siehe Berechtigungen erteilen.

Führen Sie die folgenden Schritte aus, um die Managed Microsoft AD-Audit-Logs für Ihre Domain aufzurufen.

Log-Explorer

  1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
    Zur Seite „Log-Explorer“
  2. Geben Sie im Query Builder Folgendes ein:

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Fügen Sie dem erweiterten Filter die folgende Zeile hinzu, um nach Ereignis-IDs zu filtern.

    jsonPayload.ID=EVENT_ID
    
  3. Wählen Sie Filter ausführen aus.

Siehe Log-Explorer.

Log-Explorer

  1. Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
    Zur Seite „Log-Explorer“
  2. Klicken Sie im Filtertextfeld auf und wählen Sie dann In erweiterten Filter umwandeln aus.
  3. Geben Sie im Textfeld "Erweiterter Filter" die folgenden Werte ein.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Fügen Sie dem erweiterten Filter die folgende Zeile hinzu, um nach Ereignis-IDs zu filtern.

    jsonPayload.ID=EVENT_ID
    
  4. Wählen Sie Filter senden aus.

Siehe Log-Explorer.

gcloud

Führen Sie den folgenden gcloud CLI-Befehl aus.

gcloud logging read FILTER

Dabei ist FILTER ein Ausdruck zur Identifizierung einer Reihe von Logeinträgen. Fügen Sie das Flag --folder, --billing-account oder --organization hinzu, um Logeinträge in Ordnern, Rechnungskonten oder Organisationen zu lesen.

Mit dem folgenden Befehl können Sie alle Logs für Ihre Domain lesen.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

Logeinträge mit der gcloud CLI lesen und dem Befehl gcloud logging read

Protokolle auswerten

Jeder log_entry enthält die folgenden Felder.

  • log_name ist das Ereignislog, in dem dieses Ereignis protokolliert wird.
  • provider_name ist der Ereignisanbieter, der dieses Ereignis veröffentlicht hat.
  • version ist die Versionsnummer für das Ereignis.
  • Die event_id ist die Kennung für dieses Ereignis.
  • machine_name ist der Computer, auf dem das Ereignis in Log protokolliert wurde.
  • xml ist die XML-Darstellung des Ereignisses. Er entspricht dem Ereignisschema.
  • Die message ist die lesbare Darstellung des Ereignisses.

Exportierte Ereignis-IDs

In der folgenden Tabelle sind die Ereignis-IDs aufgeführt, die exportiert werden.

Tabelle 1. Exportierte Ereignis-IDs
Auditkategorie Ereignis-IDs
Sicherheit bei der Kontoanmeldung 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777
Kontoverwaltungssicherheit 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
DS-Zugriffssicherheit 4662, 5136, 5137, 5138, 5139, 5141
Sicherheit für Ab- und Anmeldung 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964
Sicherheit des Objektzugriffs 4661, 5145
Sicherheit bei Richtlinienänderungen 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Berechtigungsnutzungssicherheit 4985
Systemsicherheit 4612, 4621
NTLM-Authentifizierung 8004

Wenn Sie feststellen, dass Ereignis-IDs fehlen, und nicht in der Tabelle der exportierten Ereignis-IDs aufgeführt sind, können Sie die Problemverfolgung verwenden, um einen Fehler zu melden. Verwenden Sie die Komponente Öffentliche Tracker > Cloud Platform > Identität und Sicherheit > Managed Service for Microsoft AD.

Logs exportieren

Sie können Managed Microsoft AD-Audit-Logs nach Pub/Sub, BigQuery oder Cloud Storage exportieren. Weitere Informationen zum Exportieren von Logs in andere Google Cloud-Dienste

Sie können auch Logs für Compliance-Anforderungen, Sicherheits- und Zugriffsanalysen und in externe

SIEMs wie Splunk und Datadog