System Center Operations Manager (SCOM) – система мониторинга и сбора информации о состоянии здоровья вашей инфраструктуры от компании Microsoft. SCOM – это один из продуктов System Center, о котором речь шла в одной из предыдущих публикаций. Помимо непосредственно сбора сведений о состоянии здоровья наблюдаемых объектов у SCOM есть еще один интересный модуль – Audit Collection Services (ACS). Этот модуль позволяет собирать информацию из журналов безопасности наблюдаемых серверов и хранить её в центральной базе. В последующем к собранной информации можно обратиться, запустив один из преднастроенных отчетов.
Конечно, есть свои особенности и ограничения, но об этом мы поговорим в разделах ниже.
Общее описание Autit Collection Services
Audit Collection Services позволяет централизовано собирать данные из журналов безопасности наблюдаемых серверов и рабочих станций. В последующем на основе собранных данных можно генерировать отчеты, которые будут добавлены в Operations Manager при установке компонента ACS. Дополнительно можно настроить свои собственные отчеты через штатный инструмент Report Builder.
Общая схема с перечнем всех компонентов приведена на рисунке ниже.
| Компонент | Описание |
| ACS Forwarder | Компонент, который автоматически устаналивается вместе с агентом SCOM на наблюдаемые сервера и рабочие станции. Осуществляет отправку журналов безопасности на сервер управления SCOM с компонентов ACS Collector |
| ACS Collector | Осуществляет сбор данных, которые поступают от компонента ACS Forwarder. Устаналивается и включается на сервере управления. |
| ACS Database | База данных, в которую компонент ACS Collector хранит данные, полученные от сборщиков данных. |
| ACS Reports | Своего рода интерфейс для доступа к собранным данным. Использует компонент Reporting SCOM, который устанавливается вместе с сервером управления. Однако, этот компонент опциональный, т.е. он может быть не установлен по умолчанию, но для использования отчетов ACS компонент Reporting нужно будет обязательно установить и настроить. |
Итоговый размер базы данных с собранными данными аудита зависит от количества наблюдаемых серверов, времени хранения данных (retention perisod) и объему информации в журналах безопасности, который генерируется наблюдаемыми устройствами.
На просторах гугла я нашел калькулятор, которой примерно может спрогнозировать размер базы данных аудита.
Видимо, он “точился” еще под 2007 версию SCOM, но по части ACS каких-то революционных изменений не было, т.е. этот калькулятор можно использовать для приблизительной оценки размера базы данных ACS.
Установка Audit Collection Services (ACS)
Наглядно рассмотрим процесс установки компонента Audit Collection Services.
Опорная информация по настройке есть в разделе официальной документации по продукту.
Первый шаг – это запуск файла setup.exe из папки с дистрибутивом Operations Manager. Установку необходимо запускать на том сервер SCOM, на котором вы планируете установить компонент ACS.
Выбираем компонент “Audit Collection Services”.
Запуститься мастер установки. Нажимаем “Next”.
Читаем лицензионное соглашение. При согласии нажимаем “Next”.
Поскольку мы первый раз выполняем установку компонента, то необходимо выбрать вариант с созданием новой базы данных аудита (Create a new database).
Указываем произвольное имя подключения источника данных (либо оставляем значение по умолчанию) и нажимаем “Next”.
На следующей станице необходимо указать параметры подключения к серверу баз данных:
- Имя сервера (параметр “Remote database server machine name“).
- Имя экземпляра SQL (параметр “Database server instance name“). Если у вас используется имя экземпляра по умолчанию (MSSQLSERVER), то данное поле заполнять не нужно.
- Имя базы данных аудита (параметр “Database name“).
Указываем тип аутентификации на сервере SQL. который будет использовать компонент ACS Collector для подключения к базе данных аудита.
Указываем расположение файла базы данных и транзакционных логов. Если при настройке экземпляра SQL вы указали нужные директории, то можно оставить значение по умолчанию. При необходимости вы можете указать расположение файлов вручную.
Указываем сколько дней наш сервер с компонентом ACS будет хранить собарнные данные. От этого параметра напрямую зависит размер базы данных. Чем период хранения больше, тем больше размер базы данных.
Указываем в каком формате будет указано время в событиях, записываемых в базу.
По последнем шаге мастре установки сгенерируем сводную информацию. После нажатия на кнопку “Next” начнется процесс установки компонента ACS.
Если на шаге настройки метода проверки подлинности для подключения к SQL вы выбрали вариант с проверкой подлинности Windows (Windows authentication), а у учетной записи компьютера SCOM нет разрешений на подклюение к SQL серверу, то вы увидите следующее окно.
Если у учетной записи пользователя, от имени которого производится установка компонента, есть права администратора SQL, то после нажатия на кнопку “OK” процесс установки продолжится.
В случае успешного окончания процесса установки компонента вы увидите следующее окно:
Настройка отчетов Audit Collection Services (ACS)
После установки компонента ACS и создания базы данных необходимо выполнить импорт отчетов для компонента Reporting сервера SCOM. Необходимые нам файла находятся вот в этой директории с дистрибутивом Operations Manager:
ReportModels\acs
Не обязательно копировать эти файла на сервер с компонентов ACS. Можно выполнить импорт с любого сервера SCOM.
Для импорта необходимо выполнить следующую команду:
UploadAuditReports.cmd SRV-SQL01\SCOM http://srv-scom01/ReportServer "C:\System Center Operations Manager 2019\ReportModels\acs",где
- SRV-SQL01 – адрес и экземпляр сервера SQL.
- http://srv-scom01/ReportServer – веб адрес сервера SCOM с компонентов Reporting.
- “C:\System Center Operations Manager 2019\ReportModels\acs” – путь до директории с файлами определениями отчетов компонента ACS.
Пример вывода на консоль после окончания успешной процедуры импорта.
После успешного импорта отчетов они будут доступны через веб портал с отчетами:
http://srv-scom01/ReportServer
И в консоли System Center Operations Manager:
Настройка агентов мониторинга
По умолчанию сбор журналов событий безопасности с наблюдаемых серверов и рабочих станций не ведется. И это понятно – в противном случае размер базы аудита мог расти очень быстро. Нужно включать сбор событий безопасности вручную только на нужных серверах и рабочих станциях.
Для этого необходимо запустить консоль Operations Manager и перейти по следующему пути “Monitoring” – “Agent Details” – “Agent Health State”.
В секции “Agent State” необходимо найти нужный вам сервер и в области задач справа выбрать пункт “Enable Audit Collection”.
Далее необходимо нажать кнопку “Override”, чтобы переопределить адрес сервера, на который необходимо отправлять данные.
В колонке “New Value” указываем FQDN вашего сервера SCOM с компонентом ACS. Нажимаем кнопку “Override”.
Запуститься процесс изменения параметров агента SCOM. В случае успешного завершения настройки будет показано соответствующее диалоговое окно, как показано на рисунке ниже.
При это в журнале “Operations Manager” на сервере SCOM с компонентов Audit Collection Service будет сгенерировано событие с ID 4628, как показано ниже.
В соответствующем разделе консоли Operations Manager также будут отображаться все сервера и рабочие станции, на которых был активирован компонент Audit Collector для сбора событий безопасности.
Примеры отчетов
В этом разделе кратко будут показаны некоторые примеры отчетов, которые вы можете сгенерировать.
Ниже приведен пример отчета, который показывает неудачные попытки входа под учетной записью пользователя (Unsuccessful Logon Attempts).
Вот это – пример отчета с распределением идентификаторов (ID) событий безопасности (Event Counts).
Следующий отчет (All Events for Specified Computer) показывает все зарегистрированные события, применительно к одному компьютеру.
Аналогичный отчет есть и для пользователей (All Events for Specified User). Он показывает все события безопасности, которые были связаны с определенным пользователем.
И последний из примеров – отчет по создаваемым пользователя (User Accounts Created). Позволяет посмотреть – кто создавал учетную запись пользователя и когда.
Заключение
В этой публикации мы поговорили о таком компоненте системы Operations Manager, как Audit Collection Services. Этот компонент позволяет централизовано собирать журналы безопасности с серверов и рабочих станцией. Настройка этого компонента включает в себя установку одноименного компонента на сервер Operations Manager, импорт дополнительных отчетов, а также активацию сбора журналов безопасности на необходимых серверах.
Процесс установки компонента ACS, импорта отчетов и активации сбора журналов безопасности был продемонстрировал наглядно.