前几天,上方提出了一个需求:安全审计。
简单说一点儿,就是需要能够知道哪个账号再哪台SRV上登录过,哪个账号创建了账号的,以及什么账号删除啊,密码修改啊,等等事件的收集。
有人可能会说,这些要求实现起来很简单啊,在DC上把审核的组策略一开启,就OK了,DC上会自动收集的,到时候查看即可。
的确,这样做,DC是可以收集这些事件的记录,但是,查看和检索起来,方便嘛?信息量少还好说,大了呢?我可亲眼看见一台DC就这样小小的检索了一下ID为4672的全部事件,就立刻死掉的。自然,是这个查询界面死掉了,DC不至于就此死掉。(俺的DC没差劲儿到系统也能死掉的地步。)
每一种产品的出现,必然有它的市场。SCOM的审核收集服务就良好的支持了这样的一个需求。scom也算博大精深吧,我可还没有什么地方都掌握,只是领导提了这样一句,我就针对这一点开始了解scom的这项功能并尽力的将需求解决。
通过市场需求来研究产品,掌握它,发挥它的作用,和自己的才能。
由于公司目前使用的是scom2007,为了配合环境,砍了之前的scom2007r2,重新搭建了scom2007的环境,主要监控一下DC,SQL和一台XP。呵呵。
(不知道有没有朋友做过07升级到R2的项目,我听说是不好搞的,有经验的还请支援一下哦。)
在2007下测试了一番,不过,环境被自己搞乱了。哈哈。也没有及时写报告,所以,又重新搭建了scom2007r2的环境,这次只用了3台win2k8的服务器,一台DC,一台SCOM,一台SQL。
scom搭建的过程就不写了,因为网上大把。照着搭建就行了。其实,这次测试的过程中,个人发现,还是直接去看平台自带的帮助文档或者是ms网站上的library也是一件不错的事情。
进入Audit Reports
进入DB Audit
接下来,我们需要启用及启动scom的审核收集服务。
我们先找到监控面板下的,选择operations managerà代理à代理运行状况状态,如下图所示:
在代理状态一栏中,选择所要收集信息的服务器,并选择右侧的“启用审核收集”,并执行启用。
我们首先来启动账户管理的审核策略。
不过,这只是对ACS这一项功能的实现做了一个初步的测试而已。
当我们搭建完毕,并通过一些设置得到一些结果之后,便会发现,对于安全审计的工作,还需要进一步的处理。scom只是一个基本数据的收集,但是,我们不可能仅仅将报表导出就OK了的。我们还需要针对不同的报表进行综合的处理。这样才能得到我们审计的目的。scom的报表,只是让我们有据可循罢了。
做管理,千万不能仅仅依靠一个管理平台。我们还需要有后续工作跟进,才能更好的发挥平台的作用。
本文转自dennisxinyu 51CTO博客,原文链接:http://blog.51cto.com/dennisxinyu/605420,如需转载请自行联系原作者
