Questo argomento spiega come attivare e visualizzare i log di controllo di Microsoft Active Directory gestito per un dominio. Per informazioni su Cloud Audit Logs per Managed Microsoft AD, consulta Log di controllo di Managed Microsoft AD.
Attivare gli audit log di Managed Microsoft AD
Puoi attivare i log di controllo di Microsoft AD gestito durante la creazione del dominio o aggiornando un dominio esistente.
Al momento della creazione del dominio
Per attivare i log di controllo di Managed Microsoft AD durante la creazione del dominio, esegui il seguente comando gcloud CLI.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Aggiorna il dominio esistente
Per aggiornare un dominio in modo da attivare i log di controllo di Microsoft Active Directory gestito, completa i seguenti passaggi.
Console
- Vai alla pagina Microsoft AD gestito
nella console Google Cloud.
Vai alla pagina Microsoft Active Directory gestito - Nella pagina AD Microsoft gestito, nell'elenco delle istanze, seleziona il dominio in cui vuoi attivare i log di controllo.
- Nella pagina dei dettagli del dominio, seleziona Visualizza i log di controllo e poi Configura i log dal menu a discesa.
- Nel riquadro Configura audit log, in Disattiva/attiva i log, imposta i log su On.
gcloud
Esegui il seguente comando gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Per limitare i dati registrati, puoi utilizzare le esclusioni dei log.
Tieni presente che i log archiviati nel progetto sono soggetti a pagamento. Scopri di più sui prezzi di Cloud Logging.
Disattivare gli audit log di Managed Microsoft AD
Per disattivare i log di controllo di Microsoft AD gestito:
Console
- Vai alla pagina Microsoft AD gestito
nella console Google Cloud.
Vai alla pagina Microsoft Active Directory gestito - Nella pagina Managed Microsoft AD, nell'elenco delle istanze, seleziona il dominio in cui vuoi disattivare i log di controllo.
- Nella pagina dei dettagli del dominio, seleziona Visualizza i log di controllo e poi Configura i log dal menu a discesa.
- Nel riquadro Configura gli audit log, in Disattiva/attiva i log, imposta i log su Off.
gcloud
Esegui il seguente comando gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verificare lo stato del logging
Per verificare che la registrazione sia attivata o disattivata, completa i seguenti passaggi, poi esegui il seguente comando gcloud CLI.
gcloud active-directory domains describe DOMAIN_NAME
Nella risposta, verifica il valore del campo auditLogsEnabled.
Visualizza i log
Gli audit log di Microsoft Active Directory gestito sono disponibili solo per i domini per i quali è attivata la raccolta dei log.
Per visualizzare i log di controllo di Microsoft AD gestito, devi disporre dell'roles/logging.viewerautorizzazione Identity and Access Management (IAM). Scopri di più sulla concessione delle autorizzazioni.
Per visualizzare i log di controllo di Microsoft AD gestito per il tuo dominio, completa i seguenti passaggi.
Esplora log
- Vai alla pagina Esplora log nella console Google Cloud.
Vai alla pagina Esplora log In Query Builder, inserisci i seguenti valori.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Per filtrare in base agli ID evento, aggiungi la seguente riga al filtro avanzato.
jsonPayload.ID=EVENT_ID
Seleziona Esegui filtro.
Scopri di più su Esplora log.
Esplora log
- Vai alla pagina Esplora log nella console Google Cloud.
Vai alla pagina Esplora log - Nella casella di testo del filtro, fai clic su e poi seleziona Converti in filtro avanzato.
Nella casella di testo del filtro avanzato, inserisci i seguenti valori.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Per filtrare in base agli ID evento, aggiungi la seguente riga al filtro avanzato.
jsonPayload.ID=EVENT_ID
Seleziona Invia filtro.
Scopri di più su Esplora log.
gcloud
Esegui il seguente comando gcloud CLI.
gcloud logging read FILTER
dove FILTER è un'espressione per identificare un insieme di voci di log.
Per leggere le voci di log in cartelle, account di fatturazione o organizzazioni, aggiungi i flag --folder, --billing-account o --organization.
Per leggere tutti i log del tuo dominio, puoi eseguire il seguente comando.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Scopri come leggere le voci di log con gcloud CLI e il comando gcloud logging read.
Interpreta i log
Ogni log_entry contiene i seguenti campi.
log_nameè il log eventi in cui viene registrato questo evento.provider_nameè il fornitore di eventi che ha pubblicato questo evento.versionè il numero di versione dell'evento.event_idè l'identificatore di questo evento.machine_nameè il computer su cui è stato registrato questo evento.xmlè la rappresentazione XML dell'evento. È conforme allo schema degli eventi.messageè una rappresentazione leggibile dell'evento.
ID evento esportati
La tabella seguente mostra gli ID evento esportati.
| Categoria di controllo | ID evento |
|---|---|
| Sicurezza di accesso all'account | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Sicurezza della gestione dell'account | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Sicurezza dell'accesso al DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Sicurezza di accesso e disconnessione | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Sicurezza di accesso agli oggetti | 4661, 5145 |
| Sicurezza delle modifiche ai criteri | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Sicurezza per l'utilizzo dei privilegi | 4985 |
| Sicurezza del sistema | 4612, 4621 |
| Autenticazione NTLM | 8004 |
Se mancano ID evento e non li trovi elencati nella tabella ID evento esportati, puoi utilizzare il tracker dei problemi per segnalare un bug. Utilizza il componente Tracker pubblici > Piattaforma cloud > Identità e sicurezza > Servizio gestito per Microsoft AD.
Esporta log
Puoi esportare i log di controllo di Managed Microsoft AD in Pub/Sub, BigQuery o Cloud Storage. Scopri come esportare i log in altri servizi Google Cloud.
Puoi anche esportare i log per i requisiti di conformità, le analisi di sicurezza e accesso e per origini esterne
SIEM come Splunk e Datadog.