scom-logo

Установка Audit Collection Services (ACS) в System Center Operations Manager 2016

Audit Collection Services (ACS) предоставляют средства сбора и централизованного хранения записей, которые формируются политикой аудита Windows. По умолчанию все события аудита хранятся в локальном журнале безопасности. ACS предоставляет возможность централизованного доступа к этим данным. Для планирования развёртывания служб ACS рекомендую ознакомиться с официальной документацией https://technet.microsoft.com/ru-ru/library/hh212872(v=sc.12).aspx, а также с материалом Планирование архитектуры ACS . В этой статье я рассмотрю базовый сценарий развёртывания ACS с небольшим количеством наблюдаемых систем.Для начала расскажу пару слов о среде, в которой производится установка Audit Collection Services.
Имеется развёрнутый Operations Manager 2016 Rollup Update 2 в следующей конфигурации: 2 сервера управления (Management Servers) OMMS1, OMMS2 и отдельный сервер баз данных OMDB, на котором развёрнут Reporting Server. Операционные системы на серверах Windows Server 2016, сервер баз данных — SQL Server 2016. Необходимо развернуть Audit Collection Services (ACS). Итоговая архитектура будет выглядеть как на рисунке:

Архитектура SCOM
ACS Forwarders — серверы, с которых будет производиться сбор данных аудита.
ACS Collector — служба Operations Manager, отвечающая за сбор и сохранение данных в базе данных ACS
Audit Database — база данных в которую сохраняются все собранные данные аудита.

Установка Audit Collection Services

Запускаем установку Operations Manager с диска:
Установка Audit Collection Services
Создаём новую базу данных для ACS:
Создание новой базы данных ACS
Задаём имя для источника данных ODBC, меня вполне устраивает имя, предлагаемое мастером — OpsMgrAC.
Далее необходимо указать сервер баз данных и имя базы данных для ACS:
Указываем сервер баз данных и имя БД для ACS
Далее выбираем метод аутентификации на сервере баз данных (Windows Authentication или SQL Authentication).
Выбираем метод аутентификации на сервере баз данных
Указываем расположение файлов данных создаваемой базы данных, если оно должно отличаться от расположения по умолчанию.
Выбираем расположение файлов бзы данных ACS
На следующем шаге необходимо указать время обслуживания базы данных и срок хранения событий в ней. ACS создаёт на каждый день отдельную таблицу в своей базе данных. Обслуживание базы данных как раз и подразумевает создание новой таблицы на новый день и создание индекса таблицы предыдущего дня для ускорения создания отчётов.
Обслуживание базы данных ACS
Количество дней, которое будут храниться данные в базе данных = количеству поддерживаемых таблиц в базе. Значение по умолчанию — 14 дней. Этот параметр можно изменить в дальнейшем. Подробнее о том, как это сделать читайте в статье SCOM: как изменить период хранения событий аудита в базе данных ACS.
Далее необходимо указать какое время (TimeStamp) будет использовано для записей в базе. Local — все записи будут иметь время локального сервера баз данных или UTC. Далее в окне SQL Server Login подтверждаем параметры и дожидаемся окончания установки.
Проверяем на сервере баз данных наличие базы ACS:
Проверка наличия базы данных ACS
И запущен ли сервис Operations Manager Audit Collection Service:
Сервис Operations Manager Audit Collection Service

Создание ACS отчётов (ACS Reporting)

После установки переходим к процедуре создания отчётов на сервере отчётов (SQL Server Reporting Services (SSRS)) https://technet.microsoft.com/ru-ru/library/hh299397.aspx
В моём примере Operations Manager Reporting Server установлен на сервере SQL OMDB, поэтому разворачивать отчёты я буду на нём.
Создаём временную папку C:\ACS и копируем в неё содержимое папки \ReportModels\acs из дистрибутива SCOM 2016:

ACS Содержимое папки ReportModels

Содержимое папки ReportModels\acs

Далее запускаем Command Prompt от администратора и меняем директорию на C:\ACS. Запускаем сценарий UploadAuditReports.cmd со следующими параметрами:

Проверяем URL Report Server’а перед запуском:

В моём случае команда будет выглядеть так:

Результат выполнения:
Запуск UploadAuditReports.cmd
Проверяем, появилась ли соответствующая директория:

Или здесь: http://servername/reports
Также должны появится отчёты в Operations Manager Console в разделе Reporting:
Audit Reports

Проверяем настройки источника данных DB Audit:
Открываем Report Manager http://reportserver/reports/ и переходим в папку Audit Reports. Чтобы увидеть источник данных необходимо отобразить скрытые элементы:

Находим источник данных DB Audit и открываем его:

В разделе «Учётные данные» необходимо указать  с какими учётными данными будет выполнятся подключение к источнику. Для наших целей необходимо использовать Windows Integrated Security — она же в SSRS называется «Как пользователь, просматривающий отчёт»:

Включение ACS Forwarders

На данном этапе мы настроим агенты на передачу событий аудита. За передачу данных со стороны Operations Manager агента отвечает служба Microsoft Monitoring Agent Audit Forwarding, которая по умолчанию отключена. Чтобы включить отправку для агента в консоли OpsMgr открываем раздел Monitoring -> Operations Manager -> Agent Details -> Agent Health State:
Включение ACS форварда
Далее откроются две колонки: одна Agent State Health Service Watcher, другая Agent State. Нам нужна именно Agent State. В ней выбираем нужный нам агент, на котором необходимо включить отправку событий аудита и в панели Tasks в разделе Health Service Tasks находим команду Enable Audit Collection:

В открывшемся окне необходимо указать Collector Server, на который необходимо отправлять данные. Также можно указать учётные данные, от имени которых следует запустить задачу, либо использовать Run As аккаунт, если он настроен.
Настройка задачи запуска ACS на агенте
acs-run-task-enable-audit-collection-2
Результат успешного выполнения задачи:
Результат выполнения задачи включения ACS на клиенте
После завершения задачи Enable Audit Collection можно проверить, запустился ли соответствующий сервис отправки данных на агенте:
Проверяем запустился ли сервис Microsoft Monitoring Agen Audit Forwarding
Таким же образом можно включить сбор данных с других интересующих нас серверов. Через некоторое время после включения у нас должны появится данные, по которым можно уже смотреть отчёты. В рассмотренном мной здесь сценарии все события аудита будут попадать в базу данных, конечно, это не подходит для больших сред, в которых события генерируются миллионами. Для ограничения потока используются специальные фильтры, настройку и использование которых я рассмотрю в следующей статье.

Добавить комментарий