本主题介绍如何为网域启用和查看托管式 Microsoft AD 审核日志。如需了解适用于代管式 Microsoft AD 的 Cloud Audit Logs,请参阅代管式 Microsoft AD 审核日志记录。
启用代管式 Microsoft AD 审核日志
您可以在网域创建过程中或者通过更新现有的网域来启用代管式 Microsoft AD 审核日志。
创建网域时
如需在网域创建期间启用代管式 Microsoft AD 审核日志,请运行以下 gcloud CLI 命令。
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
更新现有网域
如需更新网域以启用代管式 Microsoft AD 审核日志,请完成以下步骤。
控制台
- 前往 Google Cloud 控制台中的 Managed Microsoft AD 页面。
转到“代管式 Microsoft AD”页面 - 在 Managed Microsoft AD 页面的实例列表中,选择要启用审核日志的网域。
- 在“网域详情”页面上,选择查看审核日志,然后从下拉菜单中选择配置日志。
- 在配置审核日志窗格的关闭/开启日志下,将日志切换为开启。
gcloud
运行以下 gcloud CLI 命令。
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
如需限制记录的内容,您可以使用日志排除项。
请注意,存储在项目中的日志是收费的。详细了解 Cloud Logging 的价格。
停用代管式 Microsoft AD 审核日志
如需停用代管式 Microsoft AD 审核日志,请完成以下步骤。
控制台
- 前往 Google Cloud 控制台中的 Managed Microsoft AD 页面。
转到“代管式 Microsoft AD”页面 - 在代管式 Microsoft AD 页面的实例列表中,选择要停用证书的网域。
- 在“网域详情”页面上,选择查看审核日志,然后从下拉菜单中选择配置日志。
- 在配置审核日志窗格的关闭/开启日志下,将日志切换为关闭。
gcloud
运行以下 gcloud CLI 命令。
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
验证日志记录状态
如需验证是否已启用或停用日志记录,请完成以下步骤,然后运行以下 gcloud CLI 命令。
gcloud active-directory domains describe DOMAIN_NAME
在响应中,验证 auditLogsEnabled
字段的值。
查看日志
代管式 Microsoft AD 审核日志仅适用于已启用日志收集功能的网域。
如需查看代管式 Microsoft AD 审核日志,您必须具有 roles/logging.viewer
Identity and Access Management (IAM) 权限。了解如何授予权限。
如需查看您的网域的代管式 Microsoft AD 审核日志,请完成以下步骤。
日志浏览器
- 前往 Google Cloud 控制台中的日志浏览器页面。
转到“日志浏览器”页面 在查询构建器中,输入以下值。
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
如需按事件 ID 过滤,请将以下行添加到高级过滤条件。
jsonPayload.ID=EVENT_ID
选择运行过滤器。
了解日志浏览器。
日志浏览器
- 前往 Google Cloud 控制台中的日志浏览器页面。
转到“日志浏览器”页面 - 在过滤条件文本框中,点击 ,然后选择转换为高级过滤条件。
在高级过滤条件文本框中,输入以下值。
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
如需按事件 ID 过滤,请将以下行添加到高级过滤条件。
jsonPayload.ID=EVENT_ID
选择提交过滤条件。
了解日志浏览器。
gcloud
运行以下 gcloud CLI 命令。
gcloud logging read FILTER
其中,FILTER 是用于标识一组日志条目的表达式。如需读取文件夹、结算账号或组织中的日志条目,请添加 --folder
、--billing-account
或 --organization
标志。
如需读取网域的所有日志,您可以运行以下命令。
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
解读日志
每个 log_entry
包含以下字段:
log_name
是记录此事件的事件日志。provider_name
是发布此事件的事件提供程序。version
是事件的版本号。event_id
是此事件的标识符。machine_name
是记录此事件的计算机。xml
是事件的 XML 表示形式。它符合事件架构。message
是人类可读的事件表示形式。
导出的事件 ID
下表显示了导出的事件 ID。
审核类别 | 事件 ID |
---|---|
账号登录安全 | 4767、4768、4769、4770、4771、4772、4773、4774、4775、4776、4777 |
账号管理安全 | 4720、4722、4723、4724、4725、4726、4727、4728、4729、4730、4731、4732、4733、4734、4735、4737、4738、4740、4741、4742、4743、4754、4755、4756、4757、4758、4764、4765、4766、4780、4781、4782、4793、4798、4799、5376、5377 |
DS 访问安全 | 4662、5136、5137、5138、5139、5141 |
登录/注销安全 | 4624、4625、4634、4647、4648、4649、4672、4675、4778、4779、4964 |
对象访问安全 | 4661、5145 |
政策更改安全 | 4670、4703、4704、4705、4706、4707、4713、4715、4716、4717、4718、4719、4739、4864、4865、4866、4867、4904、4906、4911、4912 |
特权使用安全 | 4985 |
系统安全 | 4612、4621 |
NTLM 身份验证 | 8004 |
如果您发现任何事件 ID 缺失,并且没有看到它们列在导出的事件 ID 表中,则可以使用问题跟踪器提交 Bug。使用公共跟踪器 > Cloud Platform > 身份验证和安全 > Managed Service for Microsoft AD 组件。
导出日志
您可以将代管式 Microsoft AD 审核日志导出到 Pub/Sub、BigQuery 或 Cloud Storage。了解如何将日志导出到其他 Google Cloud 服务。
您还可以导出日志以符合合规性要求、进行安全和访问分析,也可以将日志导出到外部
SIEM,例如 Splunk 和 Datadog。