1、安装审核收集服务
首先运行SCOM 2012的安装程序,在安装界面选择“审核收集服务”如图所示。
进入审核收集服务安装向导,选择“下一步”,如图。
接受许可协议,如图。
在数据库安装选项页面,选择“创建新数据库”,如图。
在数据源页面,输入数据源的名称,这里名称保持默认,如图。
备注:ACS会将收集的事件数据存储在SQL数据库中,要与数据库通信,ACS收集器使用ODBC数据源名称。
在数据库页面,选择使用“本地运行的数据库服务器”,如图。
在数据库身份验证页面,选择的连接方式为“Windows身份验证”,如图。
在数据库创建选项页面,选择“使用SQL Server的默认数据和日志文件目录”,如图。
在事件保留计划界面,保持默认,如图。
这个界面可以配置两个内容:执行日常数据库维护的本地时间和事件在数据库中保留的天数。
ACS存储时间戳的格式为“本地”,即数据库中的时间戳将按数据库服务器上的本地时间存储,如图。
在摘要界面,确认配置没有问题后,选择“下一步”,如图。
开始安装ACS,如图。安装过程中,会弹出SQL Server 登录界面,直接点击确定即可。
等待片刻后,部署完成,但是我们发现在“启动AdtServer服务”时失败:
之所以会出现此问题,因为 AcsConfig.xml 文件具有该只读属性集。如果操作管理器审核收集服务 (AdtServer.exe)不能写入此文件,操作管理器审核收集服务无法启动。
注意AscConfig.xml 文件位于以下文件夹:
%systemroot%\System32\Security\AdtServer
解决方法:如果安装审核收集服务器,则清除在只读 AscConfig.xml 文件,然后开始操作管理器审核收集服务的属性。若要这样做,请按照下列步骤操作:
1.单击开始,单击运行,键入 %systemroot%\system32\security\adtserver,然后单击确定。
2.用鼠标右键单击 AcsConfig.xml,然后单击属性。
3.在常规选项卡上单击以清除在只读复选框,然后单击确定。
4.单击开始、单击运行,键入 cmd,然后单击确定。
5.命令提示符键入下面的命令,然后按 ENTER 键:net start adtserver
再次重新更新审核收集服务,即可完成:
打开本地的服务管理器,可以看到相关的服务,如图。
连接到SQL Server服务器,可以看到ACS的数据库,如图。
2、推送Windows监控代理
像SCCM一样,对要管理的计算机需要远程安装代理软件。我们以win2012-1.a.com这台DC服务器为例,来看看如何推送安装Windows平台的监控代理。
不管是Windows服务器还是Linux服务器,如果希望进行精确的监控,都需要安装SCOM2012的监控代理,在安装完成代理之后,才能进行更深入的配置,例如启用ACS。
首先我使用SCOM的管理帐户登录SCOM控制台,依次定位到“管理”——“设备管理”——“代理管理”,右击代理管理,选择“发现向导”,如图。
选择管理的设备类型为“Windows计算机”,如图。
选择“高级发现”,计算机和设备类为“服务器和客户端”,管理服务器为“win2012-2.a.com”,如图。
在发现方法界面,选择“浏览或者输入计算机名称”的方式,如图。
这里我要为win2012-1.a.com安装监控代理,所以浏览选择这台服务器,如图。
在管理员帐户界面,保持默认“使用选择的管理服务器操作帐户”,如图。
在发现结果界面,勾选已经发现的计算机设备,如图。
在摘要界面,代理安装目录和代理操作帐户保持默认,然后点击“完成”,如图。
正在启动代理安装任务,如图。
代理安装成功,如图。
下面我们到win2012-1.a.com这台服务器检查一下,是否安装已成功,在任务管理器的进程里,可以看到有一个Healthservice.exe的进程,如图。
打开win2012-1.a.com的服务管理器,也可以看到相关服务,如图。
回到SCOM 2012的控制台,过一段时间后,可以看到已经安装成功的代理,如图。
3、启用审核收集(ACS)
接下来我们要为已经安装监控代理的服务器启用ACS转发功能。
首先打开Operations Manager操作控制台,切换到“监视”界面,依次定位到“Operations Manager”—“代理详细信息”—“按版本列出的代理”,在右边的操作窗格中选择“启用审核收集”,如图。
勾选win2012-1.a.com,为这台服务器启用审核收集,选择下图中的“替代”按钮,如图。
在替代的编辑界面,输入新值:win2012-2.a.com,点击“替代”,如图。
回到启用审核收集界面,点击“运行”,如图。
稍等片刻后,启用审核收集成功,如图。
4、部署审核收集报告
接下来我们来看看如何配置审核收集报告。
部署审核收集报告时,需要使用SCOM 2012安装光盘中D:\ReportModels\acs文件夹。首先,我把安装光盘中的ACS文件夹拷贝到E盘下面,备用,如图。
可以看到在ACS目录下有一个uploadauditreports命令脚本,一会我们要使用该脚本。
在配置审核收集报告之前,我们先来检查一下SQL Server Report的配置,确保配置正确并能正常访问现有的报告服务。
确保报表服务器的状态是正在运行的状态,如图。
确保配置了正确的服务帐户和执行帐户,如图。
查看现有Web服务的URL,确保能够正常访问,如图。
报表URL可以正常访问,如图。
然后我们使用下图中的命令来更新审计报告,如图。
备注:下图中“win2012-2”是SQL的实例名称,因为我是本地SQL,所以直接输入名称,如果是远程SQL,应该使用“服务器名/实例名”的形式。
另外http://win2012-2.a.com:80/reportserver是现有的报表WEB服务的URL地址。
下图的完整命令为:
UploadAuditReportsNaNd win2012-2 http://win2012-2.a.com:80/reportserver e:\acs
更新完成后,我们再次打开SQL Server Reporting Services配置管理器,可以看到报表管理器URL为http://WIN2012-2:80/reports
然后访问该URL,在弹出的界面,选择“Audit Reporter”,如图。
然后来到Audit Reports界面了,如图。
选择上图中的“DB_Audit”,选择“管理”,如下图。
然后再选择“测试连接”,如图。确保连接测试成功。
切换到“监视”—“Microsoft审核收集服务”—“转发器”—“状态视图”,确保MicrosoftsystemcenterACSForwarder工作是正常的,如图。
还可以打开“Forensic_All_Events_For_Specified_User”,如图:
在下图中输入Domain\User的内容,并设置开始结束日期,可以查看到特定用户的所有事件信息,如图。
结果如下图所示:
本文转自 nick_zp 51CTO博客,原文链接:http://blog.51cto.com/nickzp/1320514,如需转载请自行联系原作者
