Sposób filtrowania zdarzeń ACS dla systemu UNIX i komputerów z systemem Linux
Dotyczy: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Domyślnie ACS zbiera i przechowuje każdego zdarzenia zarejestrowane w dzienniku zdarzeń zabezpieczeń systemu Windows. Duża liczba zdarzeń mogą wysyłać trudne do identyfikowania potencjalnych problemów. Mają być zbierane zdarzenia zabezpieczeń, które spełniają wymagania dotyczące zgodności inspekcji i zabezpieczeń.
Najlepszym rozwiązaniem jest zarchiwizowania danych przy użyciu Archiver ACS, a następnie przywróć ją do historycznych repozytorium. Z tego repozytorium można uruchomić filtrowanie. Poniższa procedura umożliwia określenie Obsługa wszystkie zdarzenia inspekcji i optymalizacji wydajności raporcie danych inspekcji. Na przykład można przechowywać wszystkie zdarzenia pomyślnego logowania (540,528), ale nie raportu na nich, chyba że inspekcji.
Aby filtrować przy użyciu AdtAdmin identyfikatorów zdarzeń
-
W wierszu polecenia Zmień katalog roboczy do %windir%\system32\security\AdtServer.
-
W tym samym wierszu polecenia, należy ustawić parametry wprowadzając /AdtAdmin /setquery Query: "Wybierz * z AdtsEvent w przypadku gdy nie (identyfikator zdarzenia = 560 lub identyfikator zdarzenia = 562 lub...)", gdzie EventIDs wyświetlane są zdarzenia inspekcji, które mają być ignorowane w dzienniku zdarzeń.
Na przykład filtr, aby tylko systemu UNIX i Linux zdarzenia zabezpieczeń są rejestrowane w dzienniku zdarzeń zabezpieczeń systemu Windows ustawia parametry wprowadzając /AdtAdmin /setquery Query: "Wybierz * z AdtsEvent w przypadku gdy nie (identyfikator zdarzenia = 560 lub identyfikator zdarzenia = 562 lub identyfikator zdarzenia = 569 lub identyfikator zdarzenia = 570 lub identyfikator zdarzenia = 571 lub identyfikator zdarzenia = 26401 lub identyfikator zdarzenia = 4665 lub identyfikator zdarzenia = 4666 lub identyfikator zdarzenia = 4667 lub identyfikator zdarzenia = 4624 lub identyfikator zdarzenia = 4634 lub identyfikator zdarzenia = 4648 lub identyfikator zdarzenia = 5156 lub identyfikator zdarzenia = 4656 lub identyfikator zdarzenia = 4658 lub identyfikator zdarzenia = 5159) ".
Aby uzyskać dodatkowe informacje na temat używania AdtAdmin.exe, zobacz Administracja usług Audit Collection Services (AdtAdmin.exe).
Zobacz też
Zbieranie zdarzeń zabezpieczeń za pomocą usług Audit Collection Services w programie Operations Manager
Jak skonfigurować certfikaty dla modułu zbierającego ACS i usługa przesyłania dalej
Planowanie wydajności usług Audit Collection Services
Liczniki wydajności usług Audit Collection Services
Jak włączyć zbierania danych inspekcji usługi przekazujących (ACS)
Zabezpieczenia usług Audit Collection Services
Zabezpieczenia usług Audit Collection Services
Monitorowanie wydajności usług Audit Collection Services
Jak usunąć usługi zbierania danych inspekcji (ACS)
Administracja usług Audit Collection Services (AdtAdmin.exe)