为网域设置审核日志记录

本主题介绍如何为网域启用和查看托管式 Microsoft AD 审核日志。如需了解适用于代管式 Microsoft AD 的 Cloud Audit Logs,请参阅代管式 Microsoft AD 审核日志记录

启用代管式 Microsoft AD 审核日志

您可以在网域创建过程中或者通过更新现有的网域来启用代管式 Microsoft AD 审核日志。

创建网域时

如需在网域创建期间启用代管式 Microsoft AD 审核日志,请运行以下 gcloud CLI 命令。

gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs

更新现有网域

如需更新网域以启用代管式 Microsoft AD 审核日志,请完成以下步骤。

控制台

  1. 前往 Google Cloud 控制台中的 Managed Microsoft AD 页面。
    转到“代管式 Microsoft AD”页面
  2. 在 Managed Microsoft AD 页面的实例列表中,选择要启用审核日志的网域。
  3. 在“网域详情”页面上,选择查看审核日志,然后从下拉菜单中选择配置日志
  4. 配置审核日志窗格的关闭/开启日志下,将日志切换为开启

gcloud

运行以下 gcloud CLI 命令。

gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs

如需限制记录的内容,您可以使用日志排除项

请注意,存储在项目中的日志是收费的。详细了解 Cloud Logging 的价格

停用代管式 Microsoft AD 审核日志

如需停用代管式 Microsoft AD 审核日志,请完成以下步骤。

控制台

  1. 前往 Google Cloud 控制台中的 Managed Microsoft AD 页面。
    转到“代管式 Microsoft AD”页面
  2. 在代管式 Microsoft AD 页面的实例列表中,选择要停用证书的网域。
  3. 在“网域详情”页面上,选择查看审核日志,然后从下拉菜单中选择配置日志
  4. 配置审核日志窗格的关闭/开启日志下,将日志切换为关闭

gcloud

运行以下 gcloud CLI 命令。

gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs

验证日志记录状态

如需验证是否已启用或停用日志记录,请完成以下步骤,然后运行以下 gcloud CLI 命令。

gcloud active-directory domains describe DOMAIN_NAME

在响应中,验证 auditLogsEnabled 字段的值。

查看日志

代管式 Microsoft AD 审核日志仅适用于已启用日志收集功能的网域。

如需查看代管式 Microsoft AD 审核日志,您必须具有 roles/logging.viewer Identity and Access Management (IAM) 权限。了解如何授予权限

如需查看您的网域的代管式 Microsoft AD 审核日志,请完成以下步骤。

日志浏览器

  1. 前往 Google Cloud 控制台中的日志浏览器页面。
    转到“日志浏览器”页面
  2. 查询构建器中,输入以下值。

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    如需按事件 ID 过滤,请将以下行添加到高级过滤条件。

    jsonPayload.ID=EVENT_ID
    
  3. 选择运行过滤器

了解日志浏览器

日志浏览器

  1. 前往 Google Cloud 控制台中的日志浏览器页面。
    转到“日志浏览器”页面
  2. 在过滤条件文本框中,点击 ,然后选择转换为高级过滤条件
  3. 在高级过滤条件文本框中,输入以下值。

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    如需按事件 ID 过滤,请将以下行添加到高级过滤条件。

    jsonPayload.ID=EVENT_ID
    
  4. 选择提交过滤条件

了解日志浏览器

gcloud

运行以下 gcloud CLI 命令。

gcloud logging read FILTER

其中,FILTER 是用于标识一组日志条目的表达式。如需读取文件夹、结算账号或组织中的日志条目,请添加 --folder--billing-account--organization 标志。

如需读取网域的所有日志,您可以运行以下命令。

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

了解如何使用 gcloud CLI 读取日志条目gcloud logging read 命令

解读日志

每个 log_entry 包含以下字段:

  • log_name 是记录此事件的事件日志。
  • provider_name 是发布此事件的事件提供程序。
  • version 是事件的版本号。
  • event_id 是此事件的标识符。
  • machine_name 是记录此事件的计算机。
  • xml 是事件的 XML 表示形式。它符合事件架构
  • message 是人类可读的事件表示形式。

导出的事件 ID

下表显示了导出的事件 ID。

表格 1. 导出的事件 ID
审核类别 事件 ID
账号登录安全 4767、4768、4769、4770、4771、4772、4773、4774、4775、4776、4777
账号管理安全 4720、4722、4723、4724、4725、4726、4727、4728、4729、4730、4731、4732、4733、4734、4735、4737、4738、4740、4741、4742、4743、4754、4755、4756、4757、4758、4764、4765、4766、4780、4781、4782、4793、4798、4799、5376、5377
DS 访问安全 4662、5136、5137、5138、5139、5141
登录/注销安全 4624、4625、4634、4647、4648、4649、4672、4675、4778、4779、4964
对象访问安全 4661、5145
政策更改安全 4670、4703、4704、4705、4706、4707、4713、4715、4716、4717、4718、4719、4739、4864、4865、4866、4867、4904、4906、4911、4912
特权使用安全 4985
系统安全 4612、4621
NTLM 身份验证 8004

如果您发现任何事件 ID 缺失,并且没有看到它们列在导出的事件 ID 表中,则可以使用问题跟踪器提交 Bug。使用公共跟踪器 > Cloud Platform > 身份验证和安全 > Managed Service for Microsoft AD 组件。

导出日志

您可以将代管式 Microsoft AD 审核日志导出到 Pub/Sub、BigQuery 或 Cloud Storage。了解如何将日志导出到其他 Google Cloud 服务

您还可以导出日志以符合合规性要求、进行安全和访问分析,也可以将日志导出到外部

SIEM,例如 Splunk 和 Datadog。