在Operations Manager中,审核收集服务 (ACS) 提供一种方式来收集审核策略生成的记录并将其存储在集中数据库中。默认情况下,当在 Windows 计算机上执行审核策略时,该计算机会自动将审核策略生成的所有事件保存到其本地安全日志中。对于 Windows 工作站和服务器而言,也是如此。在对安全要求严格的组织中,审核策略可迅速生成大量事件。
通过使用 ACS,组织可将个人安全日志合并到集中管理的数据库中,并可以使用 Microsoft SQL Server 提供的数据分析和报表工具筛选和分析事件。通过 ACS,仅被专门授予 ACS 数据库访问权限的用户可以运行查询,并根据收集的数据创建报表。
ACS 要求具有以下组件:ACS 转发器、ACS 收集器、ACS 数据库
1) ACS 转发器:
Operations Manager 代理中包括 ACS 转发器上运行的服务。默认情况下,安装 Operations Manager 代理时会安装此服务,但不启用此服务。 你可以使用“启用审核收集”任务同时为多台代理计算机启用此服务。启用此服务之后,所有安全事件除被发送到本地安全日志之外,还会被发送到 ACS 收集器。
2) ACS 收集器:
ACS 收集器接收并处理来自 ACS 转发器的事件,并将此数据发送至 ACS 数据库。 此处理包括反汇编数据,以便其能跨越 ACS 数据库内的多个表格,从而最小化数据冗余;包括应用筛选器,以便不将不必要的事件添加到 ACS 数据库中。
3) ACS 数据库
ACS 数据库是 ACS 部署内审核策略生成的事件的中心库。可以在 ACS 收集器所在的计算机上找到 ACS 数据库,但是为了获得最佳性能,每个 ACS 数据库应该安装在专用的服务器上。
下面通过详细配置过程演示安装与配置ACS
1. 登陆DC服务器,打开服务器管理器,点击工具,点击本地安全策略
2. 本地安全策略管理控制台打开后,站本地策略,点击审核策略,双击“审核账户登录事件”
3. “审核账户登录事件”属性页面,选择“成功”和“失败”
4. 配置完成后,注销DC服务器
5. 登陆Operations Manager服务器“BJ-OM-01”,插入Operations Manager安装介质
6. 安装引导界面,点击审计收集服务,点击下一步
7. 选择接受Microsoft软件许可条款,点击下一步
8. 数据库安装选项页面,选择创建新的数据库,点击下一步
9. 数据源页面,键入数据源名称。ACS将收集的事件数据存储在Microsoft SQL Server数据库中,要与数据库通信,ACS收集器使用ODBC数据源名称(DSN)。点击下一步
10.数据库配置页面,这里选择本地运行的数据库服务器,生产环境中建议将数据库服务器分开使用
11.数据库身份验证页面,选择使用Windows身份验证,点击下一步
12.数据库创建选项页面,选择使用SQL Server的默认数据和日志文件目录,点击下一步
13.时间保留计划页面,确认执行日常数据库维护的本地时间以及事件在数据库中保留的天数,这里保持默认,点击下一步
14.ACS存储时间戳格式页面,选择本地时间戳格式,即数据库中的时间戳将按照数据库服务器上本地上时间进行存储,点击下一步
15.摘要配置页面,确认无误后,点击下一步,将开始安装ACS
16.弹出的SQL Server登陆页面,键入用户账户与密码,点击确定
17.提示审核收集服务更新失败,此时使用CMD键入如下信息确认ADTServer service正在运行
18.重新执行安装过程,将会安装成功
19.打开Operations Manager管理控制台,点击监视,展开Operations Manager,展开代理详细信息,右侧任务面板页面,点击“启用审核收集”
20.运行任务-启用审核收集页面,点击“替代”
21.替代任务参数页面,键入新值“BJ-OM-01.BJCloud.com”,点击替代
22.运行任务-启用审核收集页面,点击“运行”
23.任务状态-启用审核收集页面,看到启用审核收集成功后,点击关闭
24.在配置审核收集报告之前,确认SQL Server report的配置正确并能正常访问现有的报告服务,打开Reporting Services配置管理器,确认能够正常访问
25.点击报表服务器URL,确认能够使用URL访问
26.查看正常访问的web页面,
27.登陆“BJ-OM-01”服务器,插入Operations Manager安装介质,浏览到ReportModels目录,拷贝acs文件夹到C盘根目录。
28.使用CMD键入如下信息并返回相关信息
29.打开Operations Manager管理控制台,点击报表,展开报表,点击Audit Reports
能看见相关的ACS报表信息
30.再次打开报表服务器,点击Web服务URL,查看更新后的URL
31.使用IE访问该链接,并点击Audit Reports,查看和ACS相关的报表
32.选择Access_Violation_-_Unsuccessful_Logon_Attempts查看生成的报告,当前尚未触发该机制,因此这里显示无
本文转自 徐庭 51CTO博客,原文链接:http://blog.51cto.com/ericxuting/1570764,如需转载请自行联系原作者
