scom-logo

Доступ к отчётам Audit Collection Services (ACS) в Operations Manager

Варианты предоставления доступа к данным и отчётам Audit Collection Services могут быть разные. Всё зависит от реализованной архитектуры ACS, а также от способа, которым требуется запускать отчёты (из консоли Operations Manager или напрямую в менеджере отчётов SSRS). Есть нюансы и в используемых версиях SCOM. Подробнее об архитектурных различиях читайте в статье Планирование архитектуры Audit Collection Services (ACS). Независимо от реализованной архитектуры предоставление доступа к данным и отчётам настраивается в 3 местах: разрешения на чтение базы данных ACS, настройка доступа к отчётам на сервере SQL Server Reporting Services (SSRS), настройка источника данных DB Audit.

Предоставление доступа к базе данных ACS

По умолчанию, после установки ACS доступ к базе данных имеет только учётная запись сервера, на котором развёрнут ACS коллектор и учётная запись администратора, выполнявшего развёртывание служб ACS. Для запуска отчётов ACS соответствующим пользователям или группам необходимо минимум иметь db_datareader разрешение на базу ACS. Для SCOM 2016 запуск отчётов из консоли Operations Manager осуществляется от имени учётной записи пользователя, запустившего консоль, однако, в предыдущих версиях SCOM доступ к отчётам ACS из консоли Operations Manager осуществляется от учётной записи Data Reader Account (DRA). Если же доступ к отчётам ACS осуществляется через Report Manager SSRS (http://reportserver/reports/), то доступ осуществляется в контексте той учётной записи, под которой мы выполнили вход в Report Manager.

Чтобы предоставить доступ к базе данных ACS для группы Active Diretory или для учётной записи DRA выполним следующее:
Создаём новый логин для группы или пользователя в разделе Security на уровне сервера баз данных и назначаем ему базу данных по умолчанию:
sql-acs-create-new-login
sql-acs-create-new-login-1
Затем назначаем созданному логину роль db_datareader на базу ACS:

sql-acs-database-new-login

sql-acs-create-new-login-2

sql-acs-database-new-login4

sql-acs-database-new-login5

В примере на скриншотах я дал доступ на чтение к базе данных ACS для Active Directory группы SCOM ACS Reports. Таким же образом можно предоставить доступ и для учётной записи DRA, чтобы иметь возможность запускать отчёты из консоли Operations Manager, если отчёты развёрнуты на том же SSRS экземпляре, что и остальные отчёты SCOM и используется SCOM версии ниже 2016.

Настройка доступа к отчётам ACS

В зависимости от выбранной архитектуры ACS, отчёты ACS могут быть развёрнуты на отдельном SSRS. В таком сценарии, доступа через консоль Operations Manager к этим отчётам не будет по определению, только через Report Manager http://reportserver/reports. Отчёты могут быть развёрнуты на том же SSRS, на котором развёрнуты отчёты Operations Manager, тогда доступ к ним будет как через консоль OpsMgr, так и через менеджер отчётов SSRS http://reportserver/reports/. Если отчёты ACS развёрнуты в том же экземпляре SSRS, что и отчёты Operations Manager, то для доступа к отчётам ACS достаточно, чтобы пользователь входил в роль «Operations Manager Report Operator», но для запуска отчётов из консоли Operations Manager учётная запись DRA (Data Reader Account) или запускающий отчёт пользователь (для SCOM 2016) должна иметь db_datareader для базы ACS.
Если учётная запись не имеет соответствующих разрешений на базу данных ACS, то при запуске отчёта в консоли Operations Manager мы получим такую ошибку:
An error has occurred during report processing.
Cannot create a connection to data source ‘datasource1’
opsmgr-acs-report-run-error

Настройка источника данных DB Audit

Доступ к базе данных ACS со стороны SSRS сервера настраивается с помощью источника данных DB Audit. Для настройки открываем Report Manager http://reportserver/reports/ и переходим в папку Audit Reports. Чтобы увидеть источник данных необходимо отобразить скрытые элементы:
ssrs-manager-show-hidden

Находим источник данных DB Audit и открываем его:
ssrs-manager-db-audit-ds
Доступны следующие параметры для настройки:
db-audit-data-source

По умолчанию данный источник, созданный установщиком ACS использует windows integrated аутентификацию (она же на скриншоте называется «Как пользователь, просматривающий отчёт»).  Если реализована архитектура с выносом данных ACS за границу безопасности (подробнее об этом читайте в Планирование архитектуры Autdit Collection Services (ACS)), то вариант по умолчанию не будет работать. В таком случае нужно использовать «Запросить учётные данные у пользователя, просматривающего отчёт»:
db-audit-data-source-sec-boundary
Соответственно и доступ к отчётам и базе ACS должны быть настроены для запрашиваемой учётной записи.

Добавить комментарий