本主題說明如何啟用及查看網域的 Managed Microsoft AD 稽核記錄。如要瞭解 Managed Microsoft AD 的 Cloud 稽核記錄,請參閱「Managed Microsoft AD 稽核記錄」。
啟用 Managed Microsoft AD 稽核記錄
您可以在建立網域時啟用 Managed Microsoft AD 稽核記錄,也可以更新現有網域來啟用。
建立網域時
如要在建立網域時啟用 Managed Microsoft AD 稽核記錄,請執行下列 gcloud CLI 指令。
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
更新現有網域
如要更新網域,啟用 Managed Microsoft AD 稽核記錄,請完成下列步驟。
控制台
- 前往 Google Cloud 控制台的「Managed Microsoft AD」(受管理 Microsoft AD) 頁面。
前往 Managed Microsoft AD 頁面 - 在「Managed Microsoft AD」頁面的執行個體清單中,選取要啟用稽核記錄的網域。
- 在網域詳細資料頁面中,選取「查看稽核記錄」,然後從下拉式選單中選取「設定記錄」。
- 在「設定稽核記錄」窗格中,將「開啟/關閉記錄」下方的記錄切換為「開啟」。
gcloud
執行下列 gcloud CLI 指令。
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
如要限制記錄內容,可以使用記錄排除功能。
請注意,專案中儲存的記錄檔會產生費用。進一步瞭解 Cloud Logging 定價。
停用 Managed Microsoft AD 稽核記錄
如要停用 Managed Microsoft AD 稽核記錄,請完成下列步驟。
控制台
- 前往 Google Cloud 控制台的「Managed Microsoft AD」(受管理 Microsoft AD) 頁面。
前往 Managed Microsoft AD 頁面 - 在「Managed Microsoft AD」頁面的執行個體清單中,選取要停用稽核記錄的網域。
- 在網域詳細資料頁面中,選取「查看稽核記錄」,然後從下拉式選單中選取「設定記錄」。
- 在「設定稽核記錄」窗格中,將「開啟/關閉記錄」下方的記錄切換為「關閉」。
gcloud
執行下列 gcloud CLI 指令。
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
確認記錄狀態
如要確認記錄功能是否已啟用或停用,請完成下列步驟,然後執行下列 gcloud CLI 指令。
gcloud active-directory domains describe DOMAIN_NAME
在回應中,確認 auditLogsEnabled 欄位的值。
查看記錄
只有啟用記錄檔收集功能的網域,才能使用 Managed Microsoft AD 稽核記錄。
如要查看 Managed Microsoft AD 稽核記錄,您必須具備 roles/logging.viewer Identity and Access Management (IAM) 權限。瞭解如何授予權限。
如要查看網域的 Managed Microsoft AD 稽核記錄,請完成下列步驟。
記錄檔探索工具
- 前往 Google Cloud 控制台的「Logs Explorer」頁面。
前往「Logs Explorer」(記錄檔探索工具) 頁面 在「Query Builder」(查詢建立工具) 中輸入下列值。
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
如要依事件 ID 篩選,請在進階篩選器中加入下列程式碼。
jsonPayload.ID=EVENT_ID
選取「執行篩選器」。
瞭解 Logs Explorer。
記錄檔探索工具
- 前往 Google Cloud 控制台的「Logs Explorer」頁面。
前往「Logs Explorer」(記錄檔探索工具) 頁面 - 在篩選器文字方塊中,按一下 ,然後選取「轉換為進階篩選器」。
在進階篩選器文字方塊中,輸入下列值。
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
如要依事件 ID 篩選,請在進階篩選器中加入下列程式碼。
jsonPayload.ID=EVENT_ID
選取「提交篩選器」。
瞭解 Logs Explorer。
gcloud
執行下列 gcloud CLI 指令。
gcloud logging read FILTER
其中 FILTER 是用來識別一組記錄項目的運算式。如要讀取資料夾、帳單帳戶或機構中的記錄項目,請新增 --folder、--billing-account 或 --organization 旗標。
如要讀取網域的所有記錄,可以執行下列指令。
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
解讀記錄
每個 log_entry 都包含下列欄位。
log_name是記錄此事件的事件記錄。provider_name是發布這項活動的活動供應商。version是事件的版本號碼。event_id是這個事件的 ID。machine_name是記錄這個事件的電腦。xml是活動的 XML 表示法。符合事件結構定義。message是指事件的人類可讀表示法。
匯出的事件 ID
下表列出匯出的事件 ID。
| 稽核類別 | 活動 ID |
|---|---|
| 帳戶登入安全性 | 4767、4768、4769、4770、4771、4772、4773、4774、4775、4776、4777 |
| 帳戶管理安全性 | 4720、4722、4723、4724、4725、4726、4727、4728、4729、4730、4731、4732、 4733、4734、4735、4737、4738、4740、4741、4742、4743、4754、4755、4756、 4757、4758、4764、4765、4766、4780、4781、4782、4793、4798、4799、5376、 5377 |
| DS 存取安全 | 4662、5136、5137、5138、5139、5141 |
| 登入/登出安全性 | 4624、4625、4634、4647、4648、4649、4672、4675、4778、4779、4964 |
| 物件存取安全 | 4661、5145 |
| 政策變更安全性 | 4670、4703、4704、4705、4706、4707、4713、4715、4716、4717、4718、4719、 4739、4864、4865、4866、4867、4904、4906、4911、4912 |
| 權限使用安全性 | 4985 |
| 系統安全性 | 4612、4621 |
| NTLM 驗證 | 8004 |
如果發現任何事件 ID 遺失,且未列在「匯出的事件 ID」表格中,請使用 Issue Tracker 提出錯誤報告。使用「Public Trackers」>「Cloud Platform」>「Identity & Security」>「Managed Service for Microsoft AD」元件。
匯出記錄
您可以將 Managed Microsoft AD 稽核記錄匯出至 Pub/Sub、BigQuery 或 Cloud Storage。瞭解如何將記錄檔匯出至其他 Google Cloud 服務。
您也可以匯出記錄,以符合法規遵循規定、進行安全性與存取分析,以及匯出至外部
Splunk 和 Datadog 等 SIEM。