本主題說明如何啟用及查看網域的 Managed Microsoft AD 稽核記錄。如要瞭解受控 Microsoft AD 的 Cloud 稽核記錄,請參閱「受控 Microsoft AD 稽核記錄」。
啟用 Managed Microsoft AD 稽核記錄
您可以在建立網域時啟用 Managed Microsoft AD 稽核記錄,也可以更新現有網域。
建立網域時
如要在建立網域時啟用 Managed Microsoft AD 稽核記錄,請執行下列 gcloud CLI 指令。
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
更新現有網域
如要更新網域以啟用 Managed Microsoft AD 稽核記錄,請完成下列步驟。
主控台
- 前往 Google Cloud 控制台的「受管理的 Microsoft AD」頁面。
前往「代管的 Microsoft AD」頁面 - 在「Managed Microsoft AD」頁面上,在執行個體清單中選取要啟用稽核記錄的網域。
- 在網域詳細資料頁面上,選取「查看稽核記錄」,然後從下拉式選單中選取「設定記錄」。
- 在「Configure audit logs」窗格中的「Turn off/on logs」下方,將記錄切換為「On」。
gcloud
執行下列 gcloud CLI 指令。
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
如要限制記錄內容,您可以使用記錄排除項目。
請注意,儲存在專案中的記錄會產生費用。進一步瞭解 Cloud Logging 的定價。
停用 Managed Microsoft AD 稽核記錄
如要停用 Managed Microsoft AD 稽核記錄,請完成下列步驟。
主控台
- 前往 Google Cloud 控制台的「受管理的 Microsoft AD」頁面。
前往「代管的 Microsoft AD」頁面 - 在「受管理的 Microsoft AD」頁面上,在執行個體清單中選取要停用稽核記錄的網域。
- 在網域詳細資料頁面上,選取「查看稽核記錄」,然後從下拉式選單中選取「設定記錄」。
- 在「Configure audit logs」窗格中的「Turn off/on logs」下方,將記錄切換為「Off」。
gcloud
執行下列 gcloud CLI 指令。
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
確認記錄狀態
如要確認記錄功能是否已啟用或停用,請完成下列步驟,並執行下列 gcloud CLI 指令。
gcloud active-directory domains describe DOMAIN_NAME
在回應中,驗證 auditLogsEnabled 欄位的值。
查看記錄
Managed Microsoft AD 稽核記錄僅適用於已啟用記錄收集功能的網域。
如要查看受管理的 Microsoft AD 稽核記錄,您必須具備 roles/logging.viewer 身分與存取權管理 (IAM) 權限。瞭解如何授予權限。
如要查看網域的 Managed Microsoft AD 稽核記錄,請完成下列步驟。
記錄檔探索工具
- 前往 Google Cloud 控制台的「Logs Explorer」頁面。
前往「Logs Explorer」頁面 在「Query Builder」(查詢建立工具) 中輸入下列值。
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
如要依事件 ID 篩選,請在進階篩選器中加入下列程式碼行。
jsonPayload.ID=EVENT_ID
選取「執行篩選器」。
瞭解「記錄瀏覽器」。
記錄檔探索工具
- 前往 Google Cloud 控制台的「Logs Explorer」頁面。
前往「Logs Explorer」頁面 - 在篩選器文字方塊中,按一下 ,然後選取「Convert to advanced filter」。
在進階篩選器文字方塊中輸入下列值。
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
如要依事件 ID 篩選,請在進階篩選器中加入下列程式碼行。
jsonPayload.ID=EVENT_ID
選取「提交篩選器」。
瞭解「記錄瀏覽器」。
gcloud
執行下列 gcloud CLI 指令。
gcloud logging read FILTER
其中 FILTER 是用來識別一組記錄項目的運算式。如要讀取資料夾、帳單帳戶或機構中的記錄項目,請新增 --folder、--billing-account 或 --organization 標記。
如要讀取網域的所有記錄,請執行下列指令。
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
解讀記錄檔
每個 log_entry 都包含下列欄位。
log_name是記錄此事件的事件記錄。provider_name是發布此事件的事件供應器。version是事件的版本號碼。event_id是這個事件的 ID。machine_name是記錄此事件的電腦。xml是事件的 XML 表示法。這項資訊符合事件結構定義。message是事件的易讀表示法。
匯出的事件 ID
下表列出匯出的事件 ID。
| 稽核類別 | 事件 ID |
|---|---|
| 帳戶登入安全性 | 4767、4768、4769、4770、4771、4772、4773、4774、4775、4776、4777 |
| 帳戶管理安全性 | 4720、4722、4723、4724、4725、4726、4727、4728、4729、4730、4731、4732、 4733、4734、4735、4737、4738、4740、4741、4742、4743、4754、4755、4756、 4757、4758、4764、4765、4766、4780、4781、4782、4793、4798、4799、5376、 5377 |
| DS 存取安全性 | 4662、5136、5137、5138、5139、5141 |
| 登入-登出安全性 | 4624、4625、4634、4647、4648、4649、4672、4675、4778、4779、4964 |
| 物件存取安全性 | 4661、5145 |
| 政策變更安全性 | 4670、4703、4704、4705、4706、4707、4713、4715、4716、4717、4718、4719、 4739、4864、4865、4866、4867、4904、4906、4911、4912 |
| 使用權限安全性 | 4985 |
| 系統安全性 | 4612、4621 |
| NTLM 驗證 | 8004 |
如果您發現缺少任何事件 ID,且未列在匯出的事件 ID 資料表中,可以使用Issue Tracker 回報錯誤。使用 Public Trackers > Cloud Platform > Identity & Security > Managed Service for Microsoft AD 元件。
匯出記錄
您可以將受管理的 Microsoft AD 稽核記錄匯出至 Pub/Sub、BigQuery 或 Cloud Storage。瞭解如何將記錄檔匯出至其他 Google Cloud 服務。
您也可以匯出記錄,以符合法規要求、安全性與存取分析,以及匯出至外部
SIEM,例如 Splunk 和 Datadog。