Questo argomento mostra come abilitare e visualizzare gli audit log di Managed Microsoft AD per un dominio. Per informazioni su Cloud Audit Logs per Managed Microsoft AD, consulta Log di controllo di Managed Microsoft AD.
Abilitare gli audit log di Managed Microsoft AD
Puoi attivare gli audit log di Managed Microsoft AD durante la creazione del dominio o aggiornando un dominio esistente.
Al momento della creazione del dominio
Per attivare i log di controllo di Managed Microsoft AD durante la creazione del dominio, esegui questo comando gcloud CLI.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Aggiorna dominio esistente
Per aggiornare un dominio in modo da attivare i log di controllo di Managed Microsoft AD, completa i seguenti passaggi.
Console
- Vai alla pagina Managed Microsoft AD nella console Google Cloud .
Vai alla pagina Managed Microsoft AD - Nella pagina Managed Microsoft AD, nell'elenco delle istanze, seleziona il dominio in cui vuoi attivare gli audit log.
- Nella pagina dei dettagli del dominio, seleziona Visualizza log di controllo e poi seleziona Configura log dal menu a discesa.
- Nel riquadro Configura audit log, in Attiva/disattiva log, attiva i log impostando il pulsante di attivazione/disattivazione su On.
gcloud
Esegui il seguente comando gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Per limitare i dati registrati, puoi utilizzare le esclusioni dei log.
Tieni presente che i log archiviati nel tuo progetto sono a pagamento. Scopri di più sui prezzi di Cloud Logging.
Disattivare gli audit log di Managed Microsoft AD
Per disattivare i log di controllo di Managed Microsoft AD, completa i seguenti passaggi.
Console
- Vai alla pagina Managed Microsoft AD nella console Google Cloud .
Vai alla pagina Managed Microsoft AD - Nella pagina Managed Microsoft AD, nell'elenco delle istanze, seleziona il dominio in cui vuoi disattivare gli audit log.
- Nella pagina dei dettagli del dominio, seleziona Visualizza log di controllo e poi seleziona Configura log dal menu a discesa.
- Nel riquadro Configura audit log, in Attiva/disattiva log, imposta i log su Off.
gcloud
Esegui il seguente comando gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verificare lo stato della registrazione
Per verificare che la registrazione sia abilitata o disabilitata, completa i seguenti passaggi ed esegui il seguente comando gcloud CLI.
gcloud active-directory domains describe DOMAIN_NAME
Nella risposta, verifica il valore del campo auditLogsEnabled.
Visualizza i log
I log di controllo di Managed Microsoft AD sono disponibili solo per i domini per cui è attivata la raccolta dei log.
Per visualizzare gli audit log di Managed Microsoft AD, devi disporre dell'autorizzazione
roles/logging.viewer Identity and Access Management (IAM). Scopri di più su come
concedere le autorizzazioni.
Per visualizzare i log di controllo di Managed Microsoft AD per il tuo dominio, completa i seguenti passaggi.
Esplora log
- Vai alla pagina
Esplora log
nella console Google Cloud .
Vai alla pagina Esplora log In Query Builder, inserisci i seguenti valori.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Per filtrare in base agli ID evento, aggiungi la seguente riga al filtro avanzato.
jsonPayload.ID=EVENT_ID
Seleziona Esegui filtro.
Scopri di più su Esplora log.
Esplora log
- Vai alla pagina
Esplora log
nella console Google Cloud .
Vai alla pagina Esplora log - Nella casella di testo del filtro, fai clic su , quindi seleziona Converti in filtro avanzato.
Nella casella di testo del filtro avanzato, inserisci i seguenti valori.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Per filtrare in base agli ID evento, aggiungi la seguente riga al filtro avanzato.
jsonPayload.ID=EVENT_ID
Seleziona Invia filtro.
Scopri di più su Esplora log.
gcloud
Esegui il seguente comando gcloud CLI.
gcloud logging read FILTER
dove FILTER è un'espressione per identificare un insieme di voci di log.
Per leggere le voci di log in cartelle, account di fatturazione o organizzazioni, aggiungi i flag
--folder, --billing-account o --organization.
Per leggere tutti i log del tuo dominio, puoi eseguire questo comando.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Scopri di più su come
leggere le voci di log con gcloud CLI
e il comando gcloud logging read.
Interpretare i log
Ogni log_entry contiene i seguenti campi.
log_nameè il log eventi in cui viene registrato questo evento.provider_nameè il fornitore dell'evento che lo ha pubblicato.versionè il numero di versione dell'evento.event_idè l'identificatore di questo evento.machine_nameè il computer su cui è stato registrato questo evento.xmlè la rappresentazione XML dell'evento. È conforme allo schema degli eventi.messageè una rappresentazione leggibile dell'evento.
ID evento esportati
La tabella seguente mostra gli ID evento esportati.
| Categoria di controllo | ID evento |
|---|---|
| Sicurezza di accesso all'account | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Sicurezza della gestione dell'account | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Sicurezza degli accessi DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Sicurezza di accesso e disconnessione | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Sicurezza dell'accesso agli oggetti | 4661, 5145 |
| Sicurezza delle modifiche alle norme | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Sicurezza dell'utilizzo dei privilegi | 4985 |
| Sicurezza del sistema | 4612, 4621 |
| Autenticazione NTLM | 8004 |
Se trovi ID evento mancanti e non li vedi elencati nella tabella ID evento esportati, puoi utilizzare Issue Tracker per segnalare un bug. Utilizza il componente Public Trackers > piattaforma Cloud > Identity & Security > Managed Service for Microsoft AD.
Esporta log
Puoi esportare i log di controllo di Managed Microsoft AD in Pub/Sub, BigQuery o Cloud Storage. Scopri come esportare i log in altri Google Cloud servizi.
Puoi anche esportare i log per i requisiti di conformità, l'analisi della sicurezza e dell'accesso e per
SIEM come Splunk e Datadog.