Samla in säkerhetshändelser med gransknings- och insamlingstjänst i Operations Manager
Gäller för: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
I System Center 2012 – Operations Manager kan du med gransknings- och insamlingstjänsten (ACS) samla in poster som genererats av en granskningsprincip och lagra dem i en central databas. Som standard gäller att när en granskningsprincip implementeras på en Windows-dator sparas alla händelser som genererats av principen i den lokala säkerhetsloggen. Det gäller för både Windows-arbetsstationer och servrar. I organisationer som har stränga säkerhetskrav kan granskningsprinciper snabbt generera stora mängder händelser.
Med ACS kan organisationer sammanställa enskilda säkerhetsloggar i en centralt hanterad databas samt filtrera och analysera händelser med dataanalys- och rapporteringsverktygen som finns i Microsoft SQL Server. Med ACS kan endast användare som har fått rättigheter som ger åtkomst till ACS-databasen köra frågor och skapa rapporter på insamlade data.
ACS kräver följande komponenter:
ACS-vidarebefordrare
ACS-insamlare
ACS-databas
Det finns stöd för granskning på UNIX- och Linux-datorer. Mer information finns i ACS med UNIX och Linux i det här avsnittet.
(se listan över Avsnitt om att samla in säkerhetshändelser med gransknings- och insamlingstjänsten.)
ACS-vidarebefordrare
Tjänsten som körs på ACS-vidarebefordrarna ingår i Operations Manager-agenten. Som standard är den här tjänsten installerad men inte aktiverad när Operations Manager-agenten har installerats. Med hjälp av uppgiften för att aktivera gransknings- och insamlingstjänsten kan du aktivera tjänsten på flera agentdatorer samtidigt. När du har aktiverat tjänsten skickas alla säkerhetshändelser till ACS-insamlaren och inte bara till den lokala säkerhetsloggen.
ACS-insamlare
ACS-insamlaren tar emot och bearbetar händelser från ACS-vidarebefordrare och skickar sedan informationen till ACS-databasen. Med den här bearbetningen går det att dela upp data så att de går att sprida över flera tabeller i ACS-databasen, minimera dataredundans och tillämpa filter så att onödiga händelser inte läggs till i ACS-databasen.
Antalet ACS-vidarebefordrare som stöds av en enskild ACS-insamlare och ACS-databas kan variera beroende på följande faktorer:
Antalet händelser som din granskningsprincip genererar.
Rollen för datorerna som ACS-vidarebefordrarna övervakar (som domänkontrollant respektive medlemsserver).
Nivån på aktiviteten på datorn.
Maskinvaran som ACS-insamlaren och ACS-databasen körs på.
Om miljön har för många ACS-vidarebefordrare för en enda ACS-insamlare kan du installera flera. Varje ACS-insamlare måste ha egen ACS-databas.
Det här är kraven för en ACS-insamlare:
En Operations Manager-hanteringsserver
En medlem i en Active Directory-domän
Minst 1 GB RAM, 2 GB är rekommenderat
Processor på minst 1,8 GHz, 2,8 GHz är rekommenderat
Minst 10 GB ledigt diskutrymme, 50 GB är rekommenderat
På varje dator som du ska installera ACS-insamlaren måste du ladda ned och installera den senaste versionen av MDAC (Microsoft Data Access Components) från Microsofts webbplats. Läs mer om MDAC: Learning Microsoft Data Access Components (MDAC) (Läroresurs för MDAC (Microsoft Data Access Components)).
ACS-databas
Händelser som genereras av en granskningsprincip inom en ACS-distribution lagras centralt i ACS-databasen. ACS-databasen kan vara på samma dator som ACS-insamlaren, men för bästa prestanda installeras varje på en dedikerad server.
Kraven för en ACS-databas är:
För System Center 2012 – Operations Manager: SQL Server 2005 eller Server 2008. Du kan välja en befintlig eller ny installation av SQL Server. På grund av påfrestningen från dagligt underhåll av ACS-databasen rekommenderas Enterprise-utgåvan av SQL Server.
För System Center 2012 Service Pack 1 (SP1), Operations Manager: SQL Server SQL 2008 R2 SP1, SQL Server 2008 R2 SP2, SQL Server 2012, SQL Server 2012 SP1. På grund av påfrestningen från dagligt underhåll av ACS-databasen rekommenderas Enterprise-utgåvan av SQL Server.
Minst 1 GB RAM, 2 GB är rekommenderat
.jpeg "System_CAPS_note")
InformationOm du använder SQL Server 2008 R2 eller tidigare och servern har mer än 2 GB minne krävs ytterligare konfigurationssteg. Mer information och stegen som behöver tas finns i Så här konfigurerar du SQL Server så att det använder över 2 GB minne. En lista över de lägsta maskinvaru- och programvarukraven för att installera och köra SQL Server 2012 finns i Hardware and Software Requirements for Installing SQL Server 2012 (Maskinvaru- och programvarukrav för att installera SQL Server 2012).
Processor på minst 1,8 GHz, 2,8 GHz är rekommenderat
Minst 20 GB ledigt diskutrymme, 100 GB är rekommenderat
Om du använder SQL Server Standard Edition måste databasen ta en paus under de dagliga underhållsåtgärderna. Det kan leda till att kön för ACS-insamlaren fylls med begäranden från ACS-vidarebefordrare. En full ACS-insamlarkö leder i sin tur till att ACS-vidarebefordrare kopplas ned från ACS-insamlaren. Frånkopplade ACS-vidarebefordrare återansluts när databasunderhållet är klart och eftersläpningen i kön behandlas därefter. Du kan se till att inga granskningshändelser förloras genom att allokera tillräckligt med hårddiskutrymme till den lokala säkerhetsloggen på alla ACS-vidarebefordrare.
SQL Server Enterprise Edition kan fortsätta att hantera begäranden från ACS-vidarebefordrare vid dagliga underhållsåtgärder, men med lägre prestandanivåer. Mer information om ACS-insamlarkön och ACS-vidarebefordrare som koppas från finns i Kapacitetsplanering i gransknings- och insamlingstjänst och Övervaka prestanda i gransknings- och insamlingstjänsterna.
ACS-stöd för dynamisk åtkomstkontroll
System Center 2012 Service Pack 1 (SP1), Operations Manager ger ACS-stöd för dynamisk åtkomstkontroll som aktiveras av Windows Server 2012.
Med Windows Server 2012 är det enkelt för dataägare att klassificera och etikettera data så att åtkomstprinciper kan definieras för dataklasser som är kritiska för verksamheten. Hantering av regelefterlevnad i Windows Server 2012 är enkel och flexibel eftersom det går att basera principer för åtkomst och granskning inte bara på information om användare och grupper utan på resurs- och miljöanspråk samt egenskaper från Active Directory och andra källor. Användaranspråk (till exempel roller, projekt och organisation), resursegenskaper (till exempel sekretess) och enhetsförsäkran (till exempel hälsotillstånd) kan användas för att definiera principer för åtkomst och granskning.
Windows Server 2012 förbättrar den befintliga Windows ACL-modellen för att ge stöd till dynamisk åtkomstkontroll. Den innebär att kunder kan definiera ett uttryck baserat på principen för auktoriseringsåtkomst där villkor för användbar- och maskinanspråk ingår samt resursegenskaper (exempelvis fil). Följande är en beskrivning och inte ett uttryck:
Tillåt läs- och skrivåtkomst om User.Clearance >= Resource.Secrecy och Device. Felfri
Tillåt läs- och skrivåtkomst om User.Project any_of Resource.Project
System Center 2012 Service Pack 1 (SP1) bidrar till att uppfylla dessa scenarier genom att synliggöra hur dynamisk åtkomstkontroll används i hela organisationen. Med Operations Managers gransknings- och insamlingstjänst samlas händelser in från relevanta maskiner (filservrar, domänkontrollanter) och gör det möjligt för ansvariga för regelefterlevnad att rapportera om hur dynamisk åtkomstkontroll används. Det kan till exempel gälla granskningsförändringar i principer, objektåtkomst (lyckad och misslyckad) och svar på hypotetiska frågor om vad som skulle hända om en viss princip tillämpades.
Konfiguration av dynamisk åtkomstkontroll
Kunden behöver inte konfigurera ACS-hantering av dynamisk åtkomstkontrollinformation. Den enda interaktionen med den här funktionen sker via en uppsättning rapporter. Ingen ytterligare övervakning krävs.
ACS med UNIX och Linux
Det finns några skillnader på hur ACS fungerar på UNIX- och Linux-datorer, jämfört med Windows-datorer. Det här är skillnaderna:
Du måste importera ACS-hanteringspaketen för UNIX- och Linux-operativsystemen.
Händelser som genereras av granskningsprincipen på UNIX- och Linux-datorer vidarebefordras till säkerhetshändelseloggen i Windows-hanteringsservern som övervakar UNIX- och Linux-datorer och samlas sedan in den centrala databasen.
På hanteringsservern tolkar en modul för skrivåtgärder granskningsdata från alla hanterade UNIX- och Linux-datorer och skriver informationen till säkerhetshändelseloggen i Windows. En datakällmodul kommunicerar med agenterna som är distribuerade på de hanterade UNIX- och Linux-datorerna för att övervaka loggfilerna.
En agent (Operations Manager-agenten för UNIX/Linux) finns på varje UNIX- och Linux-dator som hanteras.
Schemat för ACS-insamlaren utökas för att stöda ytterligare innehåll och formatering av granskningsdata som skickas av UNIX- och Linux-datorer.