Topik ini menunjukkan cara mengaktifkan dan melihat log audit Managed Microsoft AD untuk domain. Untuk mengetahui informasi tentang Cloud Audit Logs untuk Managed Microsoft AD, lihat Logging audit Managed Microsoft AD.
Mengaktifkan log audit Managed Microsoft AD
Anda dapat mengaktifkan log audit Managed Microsoft AD selama pembuatan domain atau dengan memperbarui domain yang ada.
Saat pembuatan domain
Untuk mengaktifkan log audit Managed Microsoft AD selama pembuatan domain, jalankan perintah gcloud CLI berikut.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Memperbarui domain yang ada
Untuk memperbarui domain guna mengaktifkan log audit Managed Microsoft AD, selesaikan langkah-langkah berikut.
Konsol
- Buka halaman Managed Microsoft AD
di Google Cloud konsol.
Buka halaman Managed Microsoft AD - Di halaman Managed Microsoft AD, dalam daftar instance, pilih domain tempat Anda ingin mengaktifkan log audit.
- Di halaman detail domain, pilih View audit logs, lalu pilih Configure logs dari dropdown.
- Di panel Configure audit logs, pada bagian Turn off/on logs, aktifkan log ke On.
gcloud
Jalankan perintah gcloud CLI berikut.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Untuk membatasi data yang dicatat dalam log, Anda dapat menggunakan pengecualian log.
Perhatikan bahwa log yang disimpan di project Anda dikenai biaya. Pelajari lebih lanjut harga untuk Cloud Logging.
Menonaktifkan log audit Managed Microsoft AD
Untuk menonaktifkan log audit Managed Microsoft AD, selesaikan langkah-langkah berikut.
Konsol
- Buka halaman Managed Microsoft AD
di Google Cloud konsol.
Buka halaman Managed Microsoft AD - Di halaman Managed Microsoft AD, dalam daftar instance, pilih domain tempat Anda ingin menonaktifkan log audit.
- Di halaman detail domain, pilih View audit logs, lalu pilih Configure logs dari dropdown.
- Di panel Configure audit logs, pada bagian Turn off/on logs, nonaktifkan log ke Off.
gcloud
Jalankan perintah gcloud CLI berikut.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Memverifikasi status logging
Untuk memverifikasi apakah logging diaktifkan atau dinonaktifkan, selesaikan langkah-langkah berikut, jalankan perintah gcloud CLI berikut.
gcloud active-directory domains describe DOMAIN_NAME
Dalam respons, verifikasi nilai kolom auditLogsEnabled.
Melihat log
Log audit Managed Microsoft AD hanya tersedia untuk domain yang diaktifkan untuk mengumpulkan log.
Untuk melihat log audit Managed Microsoft AD, Anda harus memiliki izin Identity and Access Management (IAM) roles/logging.viewer. Pelajari cara
memberikan izin.
Untuk melihat log audit Managed Microsoft AD untuk domain Anda, selesaikan langkah-langkah berikut.
Logs Explorer
- Buka halaman
Logs Explorer
di Google Cloud konsol.
Buka halaman Logs Explorer Di Query Builder, masukkan nilai berikut.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Untuk memfilter menurut ID peristiwa, tambahkan baris berikut ke filter lanjutan Anda.
jsonPayload.ID=EVENT_ID
Pilih Run Filter.
Pelajari tentang Logs Explorer.
Logs Explorer
- Buka halaman
Logs Explorer
di Google Cloud konsol.
Buka halaman Logs Explorer - Di kotak teks filter, klik , lalu pilih Convert to advanced filter.
Di kotak teks filter lanjutan, masukkan nilai berikut.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Untuk memfilter menurut ID peristiwa, tambahkan baris berikut ke filter lanjutan Anda.
jsonPayload.ID=EVENT_ID
Pilih Submit Filter.
Pelajari tentang Logs Explorer.
gcloud
Jalankan perintah gcloud CLI berikut.
gcloud logging read FILTER
Dengan FILTER adalah ekspresi untuk mengidentifikasi sekumpulan entri log.
Untuk membaca entri log di folder, akun penagihan, atau organisasi, tambahkan flag --folder, --billing-account, atau --organization.
Untuk membaca semua log untuk domain Anda, Anda dapat menjalankan perintah berikut.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Pelajari cara
membaca entri log dengan gcloud CLI
dan perintah gcloud logging read.
Menafsirkan log
Setiap log_entry berisi kolom berikut.
log_nameadalah log peristiwa tempat peristiwa ini dicatat dalam log.provider_nameadalah penyedia peristiwa yang memublikasikan peristiwa ini.versionadalah nomor versi untuk peristiwa tersebut.event_idadalah ID untuk peristiwa ini.machine_nameadalah komputer tempat peristiwa ini dicatat dalam log.xmladalah representasi XML dari peristiwa tersebut. XML ini sesuai dengan skema peristiwa.messageadalah representasi peristiwa yang dapat dibaca manusia.
ID peristiwa yang diekspor
Tabel berikut menunjukkan ID peristiwa yang diekspor.
| Kategori audit | ID Peristiwa |
|---|---|
| Keamanan login akun | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Keamanan pengelolaan akun | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Keamanan akses DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Keamanan login-logout | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Keamanan akses objek | 4661, 5145 |
| Keamanan perubahan kebijakan | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Keamanan penggunaan hak istimewa | 4985 |
| Keamanan sistem | 4612, 4621 |
| Autentikasi NTLM | 8004 |
Jika Anda menemukan ID peristiwa yang tidak ada dan tidak tercantum dalam tabel ID Peristiwa yang Diekspor, Anda dapat menggunakan Issue Tracker untuk mengajukan bug. Gunakan komponen Public Trackers > Cloud Platform > Identity & Security > Managed Service for Microsoft AD.
Mengekspor log
Anda dapat mengekspor log audit Managed Microsoft AD ke Pub/Sub, BigQuery, atau Cloud Storage. Pelajari cara mengekspor log ke layanan Google Cloud lain.
Anda juga dapat mengekspor log untuk persyaratan kepatuhan, analisis keamanan dan akses, serta ke
SIEM eksternal seperti Splunk dan Datadog.