如何部署针对 UNIX/Linux 的审核收集服务

适用对象：System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

本过程描述了一些步骤，它们部署针对 UNIX/Linux 的审核收集服务，以便为受监视的 UNIX 和 Linux 计算机启用安全事件收集和报告。

本主题内容

在部署针对 UNIX/Linux 的审核收集服务之前，必须部署和配置 ACS 及 ACS 报告。请参阅以下主题，以了解有关部署和配置审核收集服务的信息。

必须在管理 UNIX 或 Linux 计算机的每个管理服务器上安装针对 UNIX 和 Linux 的 ACS。请为每个所需的管理服务器完成此过程。

从命令提示符或“运行”菜单，启动“Services.msc”。找到“System Center Audit Forwarding”服务，然后将此服务设置为“自动”启动。启动服务。
在 Operations Manager 安装程序的初始屏幕中，从“可选安装”部分中选择“针对 UNIX/Linux 的审核收集服务”。
在针对 UNIX/Linux 的 ACS 的安装向导的第一页上，单击“下一步”。
接受服务条款，然后单击“下一步”。
选择“审核数据时区”，然后单击“下一步”。
在“就绪”页上，单击“安装”。
在“ACS 审核事件”页上，单击“下一步”。

单击**“完成”**。

注意
默认情况下，无法将事件直接写入到 Windows 安全事件日志中。在安装期间，将修改本地组策略，以允许跨平台审核收集服务模块写入到 Windows 安全事件日志中。策略可以在“计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 审核策略 -> 审核对象访问 {成功，失败}”中找到。如果组策略会替代本地策略，可能需要修改该组策略在域上的设置。

默认情况下，无法将事件直接写入到 Windows 安全事件日志中。在安装期间，将修改本地组策略，以允许跨平台审核收集服务模块写入到 Windows 安全事件日志中。

策略可以在“计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 审核策略 -> 审核对象访问 {成功，失败}”中找到。如果组策略会替代本地策略，可能需要修改该组策略在域上的设置。

必须导入针对每个所需的 UNIX 或 Linux 操作系统的审核收集服务管理包，才能收集 UNIX/Linux ACS 事件。若要导入 UNIX 和 Linux ACS 管理包，请执行此过程：

以作为 SSRS 实例管理员的用户身份登录到将用于承载 ACS 报告的服务器。
创建一个临时文件夹，例如 C:\acs。
从安装了针对 UNIX/Linux 的审核收集服务的服务器将 ACS 报告复制到临时文件夹中。可以在 Program Files 目录中找到 ACS 报告。例如：C:\Program Files\System Center Operations Manager Cross Platform ACS\Cross Platform Audit Reports。
使用“以管理员身份运行”选项打开命令提示符窗口，将目录更改为临时 acs 文件夹。

运行以下命令。

UploadCrossPlatformAuditReports “<AuditDBServer\Instance>” “<Reporting Server URL>” “<path of the copied ACS folder>”

例如：

UploadCrossPlatformAuditReports “myAuditDbServer\Instance1” “http://myReportServer/ReportServer$instance1” “C:\acs”

在安装了针对 UNIX/Linux 的审核收集服务之后，必须启用它以便收集事件。

在操作控制台中，单击“创作”。
单击“对象发现”。
搜索“ACS”。
右键单击“发现 UNIX/Linux ACS 终结点”。
选择“替代 -> 替代对象发现 -> 对于类为 UNIX/Linux 计算机的所有对象”。

注意

除了为所有 UNIX/Linux 计算机启用之外，你也可以选择个别计算机和组。
选中“已启用”复选框。
在“启用的值”列表中，选择“True”。
在“管理包”列表中，验证是否选择了你创建的自定义替代管理包。
单击"确定"。

注意
除了为所有 UNIX/Linux 计算机启用之外，你也可以选择个别计算机和组。