Cette rubrique explique comment activer et afficher les journaux d'audit du service Microsoft AD géré pour un domaine. Pour en savoir plus sur Cloud Audit Logs pour le service Microsoft AD géré, consultez la section Journalisation d'audit Microsoft AD gérée.
Activer les journaux d'audit du service Microsoft AD géré
Vous pouvez activer les journaux d'audit Microsoft AD gérés lors de la création du domaine ou de la mise à jour d'un domaine existant.
À la création du domaine
Pour activer les journaux d'audit Microsoft AD gérés lors de la création du domaine, exécutez la commande gcloud CLI suivante.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Mettre à jour le domaine existant
Pour mettre à jour un domaine afin d'activer les journaux d'audit du service Microsoft AD géré, procédez comme suit :
Console
- Accédez à la page Service Microsoft AD géré dans la console Google Cloud.
Accéder à la page Service Microsoft AD géré - Sur la page "Service Microsoft AD géré", dans la liste des instances, sélectionnez le domaine sur lequel vous souhaitez activer les journaux d'audit.
- Sur la page des détails du domaine, sélectionnez Afficher les journaux d'audit, puis Configurer les journaux dans la liste déroulante.
- Dans le volet Configurer les journaux d'audit, sous Désactiver/Activer les journaux, définissez les journaux sur Activé.
gcloud
Exécutez la commande gcloud CLI suivante.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Pour limiter les éléments consignés, vous pouvez utiliser des exclusions de journaux.
Notez que les journaux stockés dans votre projet sont payants. En savoir plus sur les tarifs de Cloud Logging
Désactiver les journaux d'audit du service Microsoft AD géré
Pour désactiver les journaux d'audit du service Microsoft AD géré, procédez comme suit.
Console
- Accédez à la page Service Microsoft AD géré dans la console Google Cloud.
Accéder à la page Service Microsoft AD géré - Sur la page "Service Microsoft AD géré", dans la liste des instances, sélectionnez le domaine sur lequel vous souhaitez désactiver les journaux d'audit.
- Sur la page des détails du domaine, sélectionnez Afficher les journaux d'audit, puis Configurer les journaux dans la liste déroulante.
- Dans le volet Configurer les journaux d'audit, sous Désactiver/Activer les journaux, définissez les journaux sur Désactivé.
gcloud
Exécutez la commande gcloud CLI suivante.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Vérifier l'état de la journalisation
Pour vérifier que la journalisation est activée ou désactivée, exécutez la commande gcloud CLI suivante.
gcloud active-directory domains describe DOMAIN_NAME
Dans la réponse, vérifiez la valeur du champ auditLogsEnabled.
Voir les journaux
Les journaux d'audit du service Microsoft AD géré ne sont disponibles que pour les domaines autorisés à collecter des journaux.
Pour afficher les journaux d'audit du service Microsoft AD géré, vous devez disposer de l'autorisation IAM (Identity and Access Management) roles/logging.viewer. Découvrez comment accorder des autorisations.
Pour afficher les journaux d'audit du service Microsoft AD géré pour votre domaine, procédez comme suit :
Explorateur de journaux
- Accédez à la page Explorateur de journaux dans la console Google Cloud.
Accéder à la page Explorateur de journaux Dans le Générateur de requêtes, saisissez les éléments suivants :
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Pour filtrer par ID d'événement, ajoutez la ligne suivante à votre filtre avancé :
jsonPayload.ID=EVENT_ID
Sélectionnez Exécuter le filtre.
Découvrez l'explorateur de journaux.
Explorateur de journaux
- Accédez à la page Explorateur de journaux dans la console Google Cloud.
Accéder à la page Explorateur de journaux - Dans la zone de texte du filtre, cliquez sur , puis sélectionnez Convertir en filtre avancé.
Dans la zone de texte de filtre avancé, saisissez les valeurs suivantes.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Pour filtrer par ID d'événement, ajoutez la ligne suivante à votre filtre avancé :
jsonPayload.ID=EVENT_ID
Sélectionnez Envoyer le filtre.
Découvrez l'explorateur de journaux.
gcloud
Exécutez la commande gcloud CLI suivante.
gcloud logging read FILTER
Où FILTER est une expression permettant d'identifier un ensemble d'entrées de journal.
Pour lire les entrées de journaux dans des dossiers, des comptes de facturation ou des organisations, ajoutez les options --folder, --billing-account ou --organization.
Pour lire tous les journaux de votre domaine, vous pouvez exécuter la commande suivante.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Découvrez comment lire les entrées de journal avec la CLI gcloud et la commande gcloud logging read.
Interpréter les journaux
Chaque objet log_entry contient les champs suivants.
log_nameest le journal de l'événement où cet événement est enregistré.provider_nameest le fournisseur de l'événement qui a publié cet événement.versionest le numéro de version de l'événement.event_idest l'identifiant de cet événement.machine_nameest l'ordinateur sur lequel cet événement a été consigné.xmlest la représentation XML de l'événement. Le schéma est conforme au schéma de l'événement.- Le champ
messageest une représentation lisible de l'événement.
ID d'événements exportés
Le tableau suivant présente les ID d'événements exportés.
| Catégorie d'audit | ID d'événement |
|---|---|
| Sécurité des ouvertures de session du compte | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Account management security | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Sécurité de l'accès au DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Sécurité des ouvertures/fermetures de session | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Sécurité des accès aux objets | 4661, 5145 |
| Sécurité des modifications des règles | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Sécurité de l'utilisation des privilèges | 4985 |
| Sécurité du système | 4612, 4621 |
| Authentification NTLM | 8004 |
Si vous constatez qu'un ID d'événement est manquant et qu'il ne s'affiche pas dans la liste,Table des ID d'événement exportés, vous pouvez signaler un bug à l'aide d'Issue Tracker. Utilisez le composant Public Trackers > Cloud Platform > Identity & Security > Managed Service for Microsoft AD.
Exporter des journaux
Vous pouvez exporter les journaux d'audit du service Microsoft AD géré vers Pub/Sub, BigQuery ou Cloud Storage. Découvrez comment exporter des journaux vers d'autres services Google Cloud.
Vous pouvez également exporter les journaux en raison d'exigences de conformité, d'analyse de la sécurité et des accès et vers des systèmes
Des systèmes SIEM tels que Splunk et Datadog.