本主题介绍如何为网域启用和查看 Microsoft AD 托管服务 审核日志。如需了解适用于 Microsoft AD 托管服务的 Cloud Audit Logs,请参阅Microsoft AD 托管服务审核日志记录。
启用 Microsoft AD 托管服务审核日志
您可以在网域创建过程中或者通过更新现有的网域来启用 Microsoft AD 托管服务审核日志。
创建网域时
如需在网域创建期间启用 Microsoft AD 托管服务审核日志,请运行以下 gcloud CLI 命令。
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
更新现有网域
如需更新网域以启用 Microsoft AD 托管服务审核日志,请完成以下步骤。
控制台
- 前往 Google Cloud 控制台中的Microsoft AD 托管服务 页面。
前往 Microsoft AD 托管服务页面 - 在 Microsoft AD 托管服务 页面的实例列表中,选择要启用审核日志的网域。
- 在“网域详情”页面上,选择查看审核日志,然后从下拉菜单中选择配置日志。
- 在配置审核日志窗格的关闭/开启日志下,将日志切换为开启。
gcloud
运行以下 gcloud CLI 命令。
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
如需限制记录的内容,您可以使用日志排除项。
请注意,存储在项目中的日志是收费的。详细了解 Cloud Logging 的价格。
停用 Microsoft AD 托管服务审核日志
如需停用 Microsoft AD 托管服务审核日志,请完成以下步骤。
控制台
- 前往 Google Cloud 控制台中的Microsoft AD 托管服务 页面。
前往 Microsoft AD 托管服务页面 - 在 Microsoft AD 托管服务页面的实例列表中,选择要停用审核日志的网域。
- 在“网域详情”页面上,选择查看审核日志,然后从下拉菜单中选择配置日志。
- 在配置审核日志窗格的关闭/开启日志下,将日志切换为关闭。
gcloud
运行以下 gcloud CLI 命令。
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
验证日志记录状态
如需验证是否已启用或停用日志记录,请完成以下步骤,运行以下 gcloud CLI 命令。
gcloud active-directory domains describe DOMAIN_NAME
在响应中,验证 auditLogsEnabled 字段的值。
查看日志
Microsoft AD 托管服务审核日志仅适用于已启用日志收集功能的网域。
如需查看 Microsoft AD 托管服务审核日志,您必须具有 roles/logging.viewer Identity and Access Management (IAM) 权限。了解如何授予权限。
如需查看网域的 Microsoft AD 托管服务审核日志,请完成以下步骤。
日志浏览器
- 前往 Google Cloud 控制台中的日志浏览器页面。
前往“日志浏览器”页面 在查询构建器中,输入以下值。
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
如需按事件 ID 过滤,请将以下行添加到高级过滤条件。
jsonPayload.ID=EVENT_ID
选择运行过滤器。
了解日志浏览器。
日志浏览器
- 前往 Google Cloud 控制台中的日志浏览器页面。
前往“日志浏览器”页面 - 在过滤条件文本框中,点击 ,然后选择转换为高级过滤条件。
在高级过滤条件文本框中,输入以下值。
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
如需按事件 ID 过滤,请将以下行添加到高级过滤条件。
jsonPayload.ID=EVENT_ID
选择提交过滤条件。
了解日志浏览器。
gcloud
运行以下 gcloud CLI 命令。
gcloud logging read FILTER
其中,FILTER 是用于标识一组日志条目的表达式。如需读取文件夹、结算账号或组织中的日志条目,请添加 --folder、--billing-account 或 --organization 标志。
如需读取网域的所有日志,您可以运行以下命令。
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
解读日志
每个 log_entry 包含以下字段:
log_name是记录此事件的事件日志。provider_name是发布此事件的事件提供程序。version是事件的版本号。event_id是此事件的标识符。machine_name是记录此事件的计算机。xml是事件的 XML 表示形式。它符合事件架构。message是人类可读的事件表示形式。
导出的事件 ID
下表显示了导出的事件 ID。
| 审核类别 | 事件 ID |
|---|---|
| 账号登录安全 | 4767、4768、4769、4770、4771、4772、4773、4774、4775、4776、4777 |
| 账号管理安全 | 4720、4722、4723、4724、4725、4726、4727、4728、4729、4730、4731、4732、4733、4734、4735、4737、4738、4740、4741、4742、4743、4754、4755、4756、4757、4758、4764、4765、4766、4780、4781、4782、4793、4798、4799、5376、5377 |
| DS 访问安全 | 4662、5136、5137、5138、5139、5141 |
| 登录/注销安全 | 4624、4625、4634、4647、4648、4649、4672、4675、4778、4779、4964 |
| 对象访问安全 | 4661、5145 |
| 政策更改安全 | 4670、4703、4704、4705、4706、4707、4713、4715、4716、4717、4718、4719、4739、4864、4865、4866、4867、4904、4906、4911、4912 |
| 特权使用安全 | 4985 |
| 系统安全 | 4612、4621 |
| NTLM 身份验证 | 8004 |
如果您发现任何事件 ID 缺失,并且没有看到它们列在导出的事件 ID 表中,则可以使用问题跟踪器提交 Bug。使用公共跟踪器 > Cloud Platform > 身份验证和安全 > Managed Service for Microsoft AD 组件。
导出日志
您可以将代管式 Microsoft AD 审核日志导出到 Pub/Sub、BigQuery 或 Cloud Storage。了解如何将日志导出到其他 Google Cloud 服务。
您还可以导出日志以符合合规性要求以及进行安全和访问分析,也可以将日志导出到外部
Splunk 和 Datadog 等 SIEM。