В данной заметке будет рассмотрен удит событий силами SCOM, с соответствующими оповещениями. Для примера взяты события: перезагрузка сервера, изменения членства в группе Domain Admins.
Для данной задачи создадим правила SCOM, которые будут срабатывать при появление в системном логе ОС определённого уведомления. В оповещения будет включаться информация о том, кто инициировал данное действие (добавил нового члена в группу, к примеру).
1. Перезагрузка сервера.
Прежде всего: создадим правило. В оснастке SCOM переходим в пункт “Создание и настройка” (Authoring), разворачиваем пункт “Объекты пакета управления” (Management Pack Objects) – “Правила” (Rules). Правой кнопкой-Создать новое правило. В открывшемся мастере выбираем тип правила: “правила создания предупреждений”-“Журнал событий NT (предупреждение)”. ! Не забываем сменить целевой пакет управления! Крайне не рекомендую сохранять что-то (правила, переопределения) в пакет по умолчанию. В одной из следующихх заметок будет рассмотрена одна из проблем, связанная с использованием пакета управления по-умолчанию.
В следующем шаге указываем имя правила (описывающее его назначение, будет проще находить в списке).
Выставляем необходимые целевые объекты. В данном случае интересуют все сервера Windows. В следующем шаге указываем какой журнал необходимо просматривать – System. Переходим далее. Теперь необходимо создать фильтр для правила. Когда администратор отправляет сервер в перезагрузку, в системном логе появляется следующее сообщение:
В нём указывается: чем было перезагружено(explorer, wuauclt и т.д.), что было перезагружено, кто запустил команду, тип выключения и комментарий. ID данного сообщения – 1074, источник – USER32. Эти параметры и укажем в фильтре:
Фильтры можно изменять, искать данные в сообщении и пр. Подробнее будет рассмотрено в следующей части заметки – про доменные группы.
На финальном шаге мастере настраиваем оповещение: указываем приоритет, название заголовка, текст сообщения. Подставляемое по-умолчанию сообщение покажет всю необходимую информацию.
Правило создано. Перед проверкой убедитесь, что сервер успел обновить правила с RMS
2. Оповещение об изменении доменной группы Domain Admins.
Для создания оповещения об изменении членства в доменных группах необходимо создать правило. Настройки правила аналогичны прошлому пункту, за тем лишь исключением, что во 2м шаге (задание имени правила, описания) в пункте “область действия” (Rule Target) следует указать Windows Domain Controller. В следующем шаге указываем что наблюдать следует за журналом Security. Далее идёт настройка фильтра, вначале рассмотрим формат сообщения в логе:
ID данного сообщения – 4728. Источник в данном вопросе не интересует – такое сообщение в логе появляется при изменении любой доменной группы. Соотв. нужен дополнительный фильтр, настроенный на Domain Admins. Как указанно в логе – нас интересует фильтрация по 3му(по порядку) параметру: TargetUserName.
В настройках фильтра выставляем параметры, как указано. В конечном итоге настройка фильтрации должна выглядеть подобным образом:
На следующем шаге настраиваем оповещение по вкусу, разбавляя выражениями и переменными. В моём случае текст оповещения был следующим:
Пользователь $Data/Params/Param[2]$
был добавлен в группу $Data/Params/Param[3]$Описание: $Data/EventDescription$
Подобным образом возможно настроить оповещение о любом событии, которое записывается в журнал системного лога.
Комментариев нет:
Отправить комментарий