Dela via

  • Artikel

Så här filtrerar du ACS-händelser för UNIX- och Linux-datorer

 

Gäller för: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Som standard ACS samlar in och lagrar alla händelser som registreras i Windows Security-händelseloggen. Ett stort antal händelser kan göra det svårt att identifiera potentiella problem. Vill du samla in de säkerhetshändelser som audit och säkerhet godkännande behov.

Det är bra att arkivera data med hjälp av en ACS-Projektarkivering och återställa den till en historisk databas. Du kan köra filtreringen från den här databasen. Följande procedur ger möjlighet att underhålla alla granskningshändelser och optimera granska rapporten prestandadata. Du kanske vill lagra alla lyckade inloggningar (540,528), men inte rapporten på dem om inte granskas. 

Filtrera händelse-ID med hjälp av AdtAdmin

  1. Ändra arbetskatalog till vid en kommandotolk %windir%\system32\security\AdtServer.

  2. I Kommandotolken samma ange frågeparametrarna genom att ange AdtAdmin /setquery/Query: "Välj * från AdtsEvent där inte (händelse-ID = 560 eller händelse-ID = 562 eller...)", där EventIDs i listan är granskningshändelser ignoreras i händelseloggen.

    Exempel: Om du vill ange ett filter så att endast de UNIX- och Linux säkerhetshändelser loggas i händelseloggen i Windows Security, ange frågeparametrarna genom att ange AdtAdmin /setquery/Query: "Välj * från AdtsEvent där inte (händelse-ID = 560 eller händelse-ID = 562 eller händelse-ID = 569 eller händelse-ID = 570 eller händelse-ID = 571 eller händelse-ID = 26401 eller händelse-ID = 4665 eller händelse-ID = 4666 eller händelse-ID = 4667 eller händelse-ID = 4624 eller händelse-ID = 4634 eller händelse-ID = 4648 eller händelse-ID = 5156 eller händelse-ID = 4656 eller händelse-ID = 4658 eller händelse-ID = 5159) ".

Mer information om hur du använder AdtAdmin.exe finns Administrera gransknings- och insamlingstjänsten (AdtAdmin.exe).