Como filtrar eventos de ACS para UNIX e computadores Linux
Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Por padrão, o ACS coleta e armazena todos os eventos registrados nos logs de eventos de segurança do Windows. Um grande número de eventos pode dificultar a identificar possíveis problemas. Você deseja coletar apenas os eventos de segurança que atendem aos seus requisitos de conformidade de segurança e auditoria.
É prática recomendada arquivar os dados usando um arquivador ACS e, em seguida, restaurá-lo a um repositório do histórico. Esse repositório, você pode executar a filtragem. O procedimento a seguir fornece a capacidade de manter todos os eventos de auditoria e otimizam o desempenho de relatórios de dados de auditoria. Por exemplo, convém armazenar todos os eventos de Logon com êxito (540,528), mas não o relatório neles, a menos que auditado.
Filtrar IDs de eventos usando AdtAdmin
-
Em um prompt de comando, altere o diretório de trabalho para %windir%\system32\security\AdtServer.
-
No prompt de comando, defina os parâmetros de consulta digitando AdtAdmin /setquery /query: "Selecione * de AdtsEvent onde não (EventID = 560 ou EventID = 562 ou...)", onde os EventIDs listados são os eventos de auditoria a serem ignorados no log de eventos.
Por exemplo, para definir um filtro para que apenas os eventos de segurança UNIX e Linux são registrados no log de eventos de segurança do Windows, definir os parâmetros de consulta digitando AdtAdmin /setquery /query: "Selecione * de AdtsEvent onde não (EventID = 560 ou EventID = 562 ou EventID = 569 ou EventID = 570 ou EventID = 571 ou EventID = 26401 EventID ou = 4665 ou identificação do evento = EventID ou de 4666 = 4667 ou identificação do evento = EventID ou de 4624 = 4634 ou identificação do evento = 4648 ou identificação do evento = 5156 ou identificação do evento = 4656 ou identificação do evento = 4658 ou EventID = 5159) ".
Para obter informações adicionais sobre como usar AdtAdmin.exe, consulte Administração dos Serviços de Coleta de Auditoria (AdtAdmin.exe).
Consulte também
Coletando eventos de segurança usando os serviços de coleta de auditoria no Operations Manager
Como configurar certificados para coletor ACS e encaminhador
Planejamento de capacidade dos Serviços de Coleta de Auditoria
Contadores de desempenho dos Serviços de Coleta de Auditoria
Como habilitar a coleta de auditoria (ACS) encaminhadoresde serviços
Segurança dos Serviços de Coleta de Auditoria
Segurança dos Serviços de Coleta de Auditoria
Monitorando o desempenho dos serviços de coleta de auditoria
Como remover os serviços de coleta de auditoria (ACS)
Administração dos Serviços de Coleta de Auditoria (AdtAdmin.exe)