Udostępnij za pośrednictwem

  • Artykuł

Sposób filtrowania zdarzeń ACS dla systemu UNIX i komputerów z systemem Linux

 

Dotyczy: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Domyślnie ACS zbiera i przechowuje każdego zdarzenia zarejestrowane w dzienniku zdarzeń zabezpieczeń systemu Windows. Duża liczba zdarzeń mogą wysyłać trudne do identyfikowania potencjalnych problemów. Mają być zbierane zdarzenia zabezpieczeń, które spełniają wymagania dotyczące zgodności inspekcji i zabezpieczeń.

Najlepszym rozwiązaniem jest zarchiwizowania danych przy użyciu Archiver ACS, a następnie przywróć ją do historycznych repozytorium. Z tego repozytorium można uruchomić filtrowanie. Poniższa procedura umożliwia określenie Obsługa wszystkie zdarzenia inspekcji i optymalizacji wydajności raporcie danych inspekcji. Na przykład można przechowywać wszystkie zdarzenia pomyślnego logowania (540,528), ale nie raportu na nich, chyba że inspekcji. 

Aby filtrować przy użyciu AdtAdmin identyfikatorów zdarzeń

  1. W wierszu polecenia Zmień katalog roboczy do %windir%\system32\security\AdtServer.

  2. W tym samym wierszu polecenia, należy ustawić parametry wprowadzając /AdtAdmin /setquery Query: "Wybierz * z AdtsEvent w przypadku gdy nie (identyfikator zdarzenia = 560 lub identyfikator zdarzenia = 562 lub...)", gdzie EventIDs wyświetlane są zdarzenia inspekcji, które mają być ignorowane w dzienniku zdarzeń.

    Na przykład filtr, aby tylko systemu UNIX i Linux zdarzenia zabezpieczeń są rejestrowane w dzienniku zdarzeń zabezpieczeń systemu Windows ustawia parametry wprowadzając /AdtAdmin /setquery Query: "Wybierz * z AdtsEvent w przypadku gdy nie (identyfikator zdarzenia = 560 lub identyfikator zdarzenia = 562 lub identyfikator zdarzenia = 569 lub identyfikator zdarzenia = 570 lub identyfikator zdarzenia = 571 lub identyfikator zdarzenia = 26401 lub identyfikator zdarzenia = 4665 lub identyfikator zdarzenia = 4666 lub identyfikator zdarzenia = 4667 lub identyfikator zdarzenia = 4624 lub identyfikator zdarzenia = 4634 lub identyfikator zdarzenia = 4648 lub identyfikator zdarzenia = 5156 lub identyfikator zdarzenia = 4656 lub identyfikator zdarzenia = 4658 lub identyfikator zdarzenia = 5159) ".

Aby uzyskać dodatkowe informacje na temat używania AdtAdmin.exe, zobacz Administracja usług Audit Collection Services (AdtAdmin.exe).