• 發行項

System Center Operations Server 2007 進階管理指引

**作者:**Microsoft MVP、台灣微軟特約顧問講師,擁有 MCITP:Enterprise Messaging Administrator 國際證照。

**引言:**在前一篇有關於 System Center Operations Server 2007 的專欄中,筆者對於這個全新資訊戰情系統的特色作過了一番介紹,並且也詳細說明了有關於系統的建置部分。在本期的內容中,我將把焦點放在 End-to-End Monitoring 的實作上,以及詳細說明如何結合企業 Email 與 EIM 的警示機制,最後還會一併說明有關於透過建置稽核收集服務(ACS)來全面監控 Windows 安全事件的應用。

以 Windows SharePoint Services 3.0 網站作為端點對端點的監控範例

在 System Center Operations Manager 2007 中提供了分散式應用系統(Distributed Applications)的監控管理機制,這是一項 End-to-End Monitoring 實作上的最佳應用範例。而這項視覺化監控機制之所以可以更有效率大幅的縮短與加速 IT 反應的時間,則是因為在藉由端點對端點對於系統每一個關聯元件監視機制的控管之下所致,讓所有與此應用系統相關聯的元件都會一一呈現在此拓樸架構圖的檢視之中,一但發生前端應用程式的某一些功能無法使用時,或是網站無法連線時都可以立即從此介面看到發生問題的關鍵所在。

以下就讓筆者透過 Microsoft SharePoint Server 2007 中的基礎核心元件-Windows SharePoint Services 3.0 網站來作為實作的範例說明。


圖1 分散式系統架構設計

首先我們必須了解到 Windows SharePoint Services 3.0 從前端到後端的關聯系統包含了 Windows Server 2003 SP1、IIS6.0 以及 SQL Server 2005 SP1,因此在開始之前我們必須先藉由 Operations Manager 操作員主控台中的 [Administration] 樹狀選單,首先請經由探索精靈分別 SharePoint 前端網站與後端的 SQL Server 都安裝好代理程式(Agent),接著透過點選 [Management Packs] 節點來將 Windows Server 2003、IIS6.0 以及 SQL Server 2005 所有管理組件一一新增進來(副檔名舊版為 AKM,新版則為 MP)。

完成了代理程式與管理組件的安裝之後,請接著確認在 [Agent Managed] 節點中已經可以檢視到這一些電腦的狀態資訊回報,接著則必須在 [Monitoring] 的介面中能夠在不同的分類管理中看到這一些系統的相關狀態資訊,例如在 Microsoft SQL Server 類別之下的 [Database State],如果從代理程式所回報的資訊都已經出現在操作員介面中之後,那麼接下來請切換到 [Authoring] 介面中繼續。


圖2 無法進行 SharePoint 網站設定

接著請在 [Authoring] 介面中點選至 [Distributed Applications] 節點上,然後點選 [Actions] 窗格中的 [Create a new distributed application] 連結,此刻系統會開啟 [Create a Distributed Application] 的設定頁面,在這裡首先必須先命名一個分散式系統的識別名稱,然後選擇目前可用的樣版(Template)。我在此先以網站的應用系統為主因此必須選取 [Line of Business Web Application] 項目。

接下來請先從左手邊的 [Web Site] 窗格中將 SharePoint 所在的網站按下滑鼠左鍵,如圖1 所示拖曳到 [Web Application Web Sites] 的方塊中,接著展開 [Database] 的窗格將 SharePoint 的相關資料拖曳到 [Web Application Web Databases] 的方塊中,如果您和筆者一樣目前僅打算先針對前端的網站部份進行監控,那麼可以只先拖曳 SharePoint_Config 與 WSS_Content 兩個資料庫過去即可。

接下來請點選正上方的 [Add Component] 按鈕,此刻系統會開啟 [Create New Component Group] 的視窗,首先請命名一個識別名稱例如「Database Host」,然後請在此請展開 [Device] 節點下至 [Computer]\[Windows Computer]\[Windows Server] 項目中勾選 [Windows Server 2003 Computer],如此一來在左邊窗格中的 [Windows Server 2003 Computer] 項目內,將會出現目前所有被管理的 Windows Server 2003 電腦,請立即將安裝 SharePoint 資料庫的 SQL Server 2005 的主機拖曳到這個新的元件群組的方格之中即可。最後點選 [Create Relationship] 按鈕並且從 [Web Application Web Databases] 的方塊中拖曳到剛剛新增的方格元件之上來產生關聯性即可,完成一切設定之後點選左上角的 [Save] 按鈕完成儲存即可。


圖3 檢視 SharePoint 網站運作情形

接下來我們必須做一些自動診斷上的測試,以確保前面所做的所有設定能夠真正發揮效用。首先請先以 SharePoint 管理員身份連線登入到網站上,在確認可以正常連線存取之後,接下來請陸續完成以下各項測試。

  • 從 Windows 系統管理工具中開啟 [網際網路資訊管理員] 介面,接著將 SharePoint 的這一項應用程式集區按下滑鼠右鍵點選停止,然後重整一下剛剛開啟的 SharePoint 網頁,此刻應該會出現 [Service Unavailable] 訊息。接下來請回到 Operations Manager 操作員主控台中的 [Authoring] 介面,在 [Distributed Applications] 節點窗格中針對我們所建立的項目按下滑鼠右鍵選取 [View diagram] 命令,此刻系統將會開啟自動繪製好的分散式應用系統的拓樸架構圖,當我們現目前的網站應用程式節點圖示出現錯誤標示符號時,再進一步往下展開之後便會看到原來發生問題的癥結點就是 SharePoint 的應用程式集區。此刻您便可以立即嘗試點選在 [Actions] 窗格中的 [Start Application Pool] 功能來解決此問題,執行成功之後便會發現原本錯誤的圖示恢復了正常,再一次重整SharePoint網頁的瀏覽時當然也會恢復正常。
  • 接下來您可以在 IIS 中改由去停止 SharePoint 網站的,然後便會發現在拓樸的架構中網站的圖示雖然也是出現錯誤的標示,但是其下的應用程式是集區卻顯示在正常的狀態下,如果重新整理瀏覽的網頁也會發現出現的訊息會是一般找不到網頁的訊息,所以呈現的結果是不一樣的。
  • 接下來要測試的是針對後端的資料庫部份。首先我們可以到 SQL Server Management Studio 的介面中先針對 SharePoint_Config 這個資料庫項目,按下滑鼠右鍵點選 [工作]\[工作離線] 成功之後,然後去繼續瀏覽 SharePoint 網站的內容,此刻您會發現雖然一切過程都很正常,可是當您點選某一個文件庫、清單或它組件甚至於網站的設定功能時,便會利即出現如圖2 所示的未知錯誤訊息。這時候如果再回到 [Distributed Applications] 的檢視中,就會看到這一回立即呈現的是如圖3 所示的 Web Application Databases 其下的 SharePoint_Config 出現錯誤所造成的,此刻同樣只要立即點選 [Action] 窗格中的 [Set Database Online] 連結即可完成資料庫上線動作。
  • 接下來您還可以嘗試改由將 WSS_Content 資料庫暫時設定為工作離線,來觀察一下這一回發生什麼事,相信您在瀏覽 SharePoint 網站時所看到的訊息會是告訴你無法連接資料庫的錯誤訊息吧!由此可見對於前端的 SharePoint 網站來說,此資料庫的可用性對於一般使用者是最具直接性的影響。
  • 除了上述的這一些基本測試之外,倘若您目前的 SharePoint 資料庫與 System Center Operations Manager 2007 的資料庫在不同的 SQL Server 2005 主機上,那麼建議您不妨測試一下將整個 SharePoint 主機上的 SQL Server 服務停止,來觀察一下在 [Distributed Applications] 的圖表檢視中與IE瀏覽器上的連線畫面會發生什麼樣的相對應狀態。

分秒不漏接的警示通知設定指引

在 SCOM 2007 中提供了四種可以即時的將第一時間的警示訊息傳送給管理員的方法,這分別是電子郵件、IM 即時訊息、簡訊以及管理員自訂的外部命令設定,其中前兩種通知方式是目前最多 IT 工作者最希望採取的機制,而 IM 即時訊息也是在這個版本中才有的全新特色,它可以直接整合企業內部現有的 EIM(Enterprise Instant Messaging)系統,來做到最即時的警示訊息通知需求。

有關於 EIM 系統的導入可以直接選擇採用 Office Live Communication Server 2005,其優勢在於它除了可以像一般協力廠商的 IM 系統一樣,讓使用者在自己的電腦上接收到即時的訊息通知之外,對於許多行動管理員來說還可以直接由遠端透過 Web Messenger 或 Mobile Messenger 的方式來進行登入,甚至於可以在進一步結合 Public IM 的使用之下,讓人在外部時的 Windows Live Messenger 的連線使用也同樣可以接收到即時的 SCOM 2007 警示訊息通知。

想要在 SCOM 2007 來整合這一些警示通知的管道,管理員必須在完成部署之後進行一些必要的組態設定,以下說明整個設定的流程。

STEP1 警示通知管道的設定

  • 首先請開啟 Operations Console 管理介面,接著在點選展開 [Administration] 項目之後然後點選 [Settings],接著在此區域中點選 [Notification] 設定項目之後按下滑鼠右鍵點選 [Properties] 繼續。

  • 如圖4 所示接著在開啟 [Global Management Group Settings-Notification] 視窗之後,首先請先切換到 [Email] 的頁面中。請點選 [Add...] 按鈕來新增一個負責發信的 SMTP 伺服器位址,在此還必須分別輸入通訊埠、驗證方法、以及發信者的 Email 位址,值得注意的是如果您有多部的 SMTP 伺服器,在此還可以定義彼此相互備援的優先順序。至於其它欄位採用預設值即可。


    圖4 電子郵件通知設定

     

  • 接下來請如圖5 所示切換到 [Instant Messaging] 頁面,然後勾選 [Enable instant messaging notifications] 項目,並且分別輸入企業內部的 IM 伺服器 FQDN 位址以及負責發送即時訊息通知的 IM 帳戶位址,其中帳戶的位址輸入必須結合 sip: 的關鍵字才可以,例如:sip:administrator@domain.com。此外建議您對於此帳戶的輸入使用一個全新建立好的專屬 IM 帳戶來進行。

  • 完成了 IM 伺服器位址與帳戶的輸入之後,緊接著請設定 IM 伺服器連線的通訊埠,如果使用的是 Office Live Communication Server 2005,則系統預設值會是採用未加密的 TCP 5060 通訊埠,如果是採用加密的 TLS 連線方式則通訊埠預設值為 TCP 5061,在驗證方法部分選擇 NTLM 即可。至於其它欄位採用預設值即可。


    圖5 IM 即時訊息通知設定

     

STEP2 帳戶與使用者設定檔組態配置

因應安全性設計的考量之下,接下來我們必須賦予負責發送電子郵件與 IM 即時訊息通知帳戶的相關權限配置,因此該帳戶資訊必須確認已經完成相對應電子郵件帳戶與 IM 功能的啟用。請參考以下的設定步驟說明。

  • 首先請開啟 Operations Console 管理介面,接著在點選展開 [Administration] 項目之後點選 [Run As Accounts] 並且按下滑鼠右鍵選取 [Create Run As Account] 命令繼續。
  • 接著請在 [Introduction] 頁面中點選 [Next] 繼續。在 [General] 頁面中選取 [Windows] 來作為執行帳戶的類型,並且輸入一個唯一的識別名稱與簡短的介紹說明即可。
  • 接著在 [Account] 的頁面中請分別輸入帳戶名稱、密碼以及所屬的網域名稱並且點選 [Create] 按鈕即可完成建立。
  • 接下來請同樣在 [Administration] 這個節點內,點選 [Run As Profiles] 項目中的 [Notification Account] 並且按下滑鼠右鍵選取 [Properties] 繼續。
  • 開啟 [Run As Properties - Notification Account] 視窗之後請切換到 [Run As Accounts] 頁面然後點選 [New...] 按鈕,接著在 [Add Alternative Run As Account] 頁面中首先請在下拉選單中選取前面我們在 Run As Account 所定義的帳戶名稱,最後再新增選取目前所使用的 SCOM 2007 管理伺服器即可。

STEP3 警示訊息接收者與訂閱者設定

完成了警示訊息發送伺服器與發送使用者的設定之後,最後一部分我們必須新增設定負責接收警示訊息的 IT 人員有哪一些,以及所相對應訂閱的通知項目有哪一些,以下說明有關於這部份的操作步驟。

  • 首先請開啟 Operations Console 管理介面,接著在點選展開 [Administration] 項目之後針對 [Recipients] 項目按下滑鼠右鍵點選 [New Notification Recipient]。

  • 接著在開啟 [Notification Recipient Properties] 視窗之後請切換到 [General] 頁面中,然後在點選 […] 按鈕之後選取第一個準備要接受警示訊息的網域帳戶。

  • 接著切換到 [Notification Devices] 頁面中點選 [Add..] 按鈕,然後在開啟 [Create Notification Device Wizard] 視窗之後切換到 [Channel] 的頁面,在此頁面中請先選擇 [E-mail] 來作為接收警示通知的方法並且輸入相對應的 Email 位址,點選 [Next] 按鈕繼續。

  • 接下來在 [Schedule] 的頁面中您可以自行定義能夠進行警示訊息發送的排程時間,或是直接採用系統預設值也是可以的,在預設的狀態之下是 7x24 小時中管理人員都能夠接收到即時的警示訊息通知。

  • 接下來在 [General] 的頁面中請針對此使用者的 Email 通知方式輸入一個裝置的識別名稱,例如:Jovi_Email。

  • 完成了訊息接收者有關於 Email 的通知設定之後,接下來必須回到 [Notification Recipient Properties] 的 [Notification Devices] 頁面中點選 [Add..] 按鈕,來繼續有關於 IM 訊息接收的新增設定。

  • 在開啟 [Channel] 的頁面中請從 [Notification channel] 下拉選單中選取 [Instant Messaging] 項目,並且在下方欄位中輸入使用者的 IM 位址。

  • 接著在 [Schedule] 的頁面中同樣可以設定能夠接收警示訊息通知的排程時間,以及在下一個在 [General] 的頁面中輸入一個裝置的識別名稱,例如:Jovi_IM 即可。


    圖6 警示規則設定

     

  • 當我們把所有警示訊息的接收者都新增設定好之後,接下來便可以開始來設定這一些使用者所要訂閱的警示訊息項目、內容規則等等。請在點選展開 [Administration] 項目之後針對 [Subscriptions] 項目按下滑鼠右鍵點選 [New Notification Subscription] 繼續。

  • 接著在 [Introduction] 的頁面中點選 [Next] 繼續。來到了 [General] 頁面中必須輸入一個訂閱者的識別名稱,以及在 [Recipient] 的區域中點選 [Add] 按鈕來加入所要列入此訂閱者設定的接收者清單。

  • 接著在 [User Role Filter] 的頁面中採用預設值即可,點選 [Next] 按鈕繼續。

  • 接著在 [Groups] 的頁面中可以勾選所要訂閱的群組目標,在測試階段您可以直接勾選最上層的管理群組項目即可。

  • 接著在 [Classes] 的頁面中採用預設值即可,點選 [Next] 來到 [Alert Criteria] 頁面。如圖6 所示在此頁面中可以篩選所要訂閱的警示訊息嚴重層級、優先等級、解決狀態、警示類別。

  • 接著在 [Alert Aging] 的頁面中可以設定警示生命週期內不要重複傳送警示訊息,或者是選取 [Use alert aging as a notification criteria] 項目來自行設定其生命週期的時間(預設值=10 分鐘)作為警示的條件之一。

  • 最後在 [Formats] 的頁面中您可以設定 Email、IM、SMS 以及編碼方式的訊息內容格式,一般來說這部分都會採用預設值即可。


    圖7 整合 IM 的警示通知

     

如圖7 所示便是一個典型經由 IM 的即時訊息通知範例,警示內容中則是告知管理人員有關於 Active Directory 複寫發生異狀的相關問題,此刻管理員只要回到 SCOM 2007 的管理員主控台或 Web 主控台,便可以檢視到整個詳細的問題描述以及解決此問題的方法。

Windows 安全稽核收集服務的介紹與部署

在 System Center Operations Manager 2007 中提供了一個方便IT人員集中管理作業系統安全稽核事件的方法,也就是藉由每一部受管理電腦上的本機安全性原則中的稽核原則設定或是經由 Active Directory 群組原則的集中套用,然後將這一些產生在各自用戶端電腦、伺服器上的安全稽核事件記錄全部收集到稽核收集服務(ACS,Audit Collection Services)的資料庫中,最後再透過 SCOM 2007 管理主控台中的報表管理功能來加以呈現各種管理員所需要進行查詢、統計以及分析的報表。

在 SCOM 2007 中所提供的稽核收集服務(ACS)在整個架構的部署中包含了 ACS 傳送器(forwarders)、ACS 收集器(collector)以及 ACS 資料庫(database)三項必要元件,以下說明這三項元件各自的功能用途。

ACS 傳送器(forwarders)

這一項服務執行在安裝有 Operations Manager 代理程式的電腦上,在預設的狀態之下這一項服務是有安裝但是並沒有被啟用,管理員可以針對多部安裝有代理程式的電腦去啟用這一項服務,以便於可以進行後續稽核事件的收集工作並且傳送到 ACS 收集器電腦中的本機安全性事件記錄。關於 ACS 傳送器的系統需求部分記憶體需 128MB(建議 256MB)、硬碟空間需至少 1GB(建議 2GB)。

ACS收集器(collector)

此元件負責接收與處理來自 ACS 傳送器的安全稽核事件,接著將這一些資料傳送的 ACS 資料庫中,而這當中的處理過程包含了將這一些收集來的資料彙整之後發送到資料庫內的不同資料表中,而在細部的資料篩選過程中也會依照實際的原則定義,來過濾掉不需要的稽核資訊並且將資料可能的重複性降到最低。

單一個 ACS 收集器與 ACS 資料庫可以同時支援來自多個的 ACS 傳送器,當然啦您也可以依照實際IT環境規模的不同,來規劃多個 ACS 傳送器、ACS 收集器以及 ACS 資料庫之間的多對多的關係。

一個 ACS 收集器必須安裝在一部 Windows Server 2003 或更新的作業系統上,在硬體的最低需求上則是記憶體必須 1GB(建議 2GB)、CPU 在 1.8GHz(建議 2.8GHZ)、10GB(建議 50GB)的剩餘硬碟空間。最後請務必將這部伺服器角色加入到 Active Director 的網域成員伺服器中,並且基於安全性的考量因素它還必須是 SCOM 2007 的管理伺服器。

請注意!針對每一部計畫要安裝 ACS 收集器元件的電腦上,請務必預先下載安裝好最新版本的 MDAC(Microsoft Data Access Components)元件。關於 MDAC 元件的相關說明可參考 https://msdn2.microsoft.com/en-us/data/aa937703.aspx

ACS 資料庫(database)

ACS 資料庫用以儲存整個稽核收集服務部署中的安全稽核資料,在規劃上我們可以將它與 ACS 收集器元件安裝在相同一部的電腦上,不過如果是要用以管理大量的伺服器安全稽核事件,在基於運作效能上的考量則建議將它們分散在不同的實體主機上來進行安裝。

ACS 資料庫的安裝必須在 SQL Server 2005 的主機上來進行,而建議的版本則是 SQL Server 2005 企業版,因為它支援的 CPU 與記憶體資源的使用率最佳。此外如果使用的是 SQL Server 2005 標準版,則可能會造成在每一天資料庫的維護過程中需要暫停該資料庫的服務,因為它可能會導致 ACS 收集器佇列填滿來自 ACS 傳送器的要求,而一個處於滿載 ACS 收集器的佇列會導致 ACS 傳送器與 ACS 收集器之間的連線。

關於 ACS 資料庫元件的安裝在硬體方面的需求,記憶體必須至少 1GB(建議 2GB)、CPU 在 1.8GHz(建議 2.8GHZ)、20GB(建議 100GB)的剩餘硬碟空間。請注意!如果您所使用的 SQL Server 2005 主機上的記憶體超過 2GB 的記憶體,則必須修改 SQL Server 2005 本身的某一些系統組態,這一部分可以參閱官方網站 https://support.microsoft.com/kb/274750 說明即可。

如何安裝 ACS 收集器與 ACS 資料庫元件?

  • 請放入 SCOM 2007 安裝光碟片至管理伺服器的光碟機中,接著請在安裝主選單中點選 [Install Audit Collection Server] 連結,然後來到 [Database Installation Options] 的頁面中在選取 [Create a new database] 項目之後點選 [Next] 繼續。

  • 接著在 [Data Source] 的頁面中您必須設定一個要做為連線存取 ACS 資料庫的 ODBC 名稱,建議您採用預設的 [OpsMgrAC] 命名即可。

  • 接著如圖8 所示在 [Database] 的頁面中,必須設定資料庫伺服器 SQL Server 與資料庫建立的名稱,如果是在本機電腦上採用預設值即可無需修改任何設定,如果是在網域中的其它伺服器上則必須改由選取 [Remote Database Server],然後輸入相對應的電腦名稱與執行個體名稱(選用)。


    圖8 安裝 ACS 資料庫

     

  • 接著在 [Database Authentication] 的頁面中,您必須選擇 ACS 與 SQL Server 2005 的連線存取的驗證方法,在此如果您指定的 SQL Server 與 ACS 在相同網域內則可以選取 [Windows authentication],如果不是那麼請選擇 [SQL authentication],然後在下一個頁面中輸入相關的 SQL 驗證帳戶資訊。

  • 接著在 [Database Creation Options] 的頁面中,可以讓您決定 ACS 資料庫檔案與交易記錄檔案的實體儲存路徑。

  • 接著在 [Event Retention Schedule] 的頁面中,請勾選 [Local hour of day to perform daily database maintenance],並且在 [Number of days to retain events] 的欄位中輸入事件的保存天數(預設=14 天)。

  • 接著在 [ACS Stored Timestamp Format] 的頁面中,您可以選擇時間的區域是本地(Local)或格林威治(Universal Coordinated Time)時間。最後請在下一個 [Summary] 頁面中點選 [Next] 即可開始進行安裝。

如何在 SCOM 2007 中啟用 ACS 傳送器設定?

要針對所有受管理的電腦來成功收集相關的安全稽核事件記錄到 ACS 的資料庫中,除了需要預先完成作業系統的稽核原則安全性設定,以及完成 ACS 收集器與 ACS 資料庫元件的安裝之外,還必須將預設已經隨著 SCOM 2007 代理程式安裝的 ACS 傳送器元件設定為啟用,以下說明啟用此設定的操作步驟:

  • 請在以管理員的身分登入之後開啟 [Operations Console] 主控台並且連線到現有的管理伺服器。
  • 接著請點選展開 [Monitoring] 頁面然後切換到 [Operations Manager]\[Agent] 節點下之後點選 [Agent General State]。在此視窗中您可以去挑選所有想要去啟用 ACS 傳送器功能的代理程式電腦(搭配 CTRL 或 SHIFT 可連續選取)。
  • 在 [Action] 的頁面中請在 [Health Service Tasks] 下點選 [Enable Audit Collection],之後將會出現 [Run Task - Enable Audit Collection] 視窗。
  • 在 [Specify the credentials you want to run the task with] 區域中,可以在 [Other] 的頁面部分來設定執行此作業的帳戶資訊。最後您便可以在 [Run Task] 的點選之後,在 [Task Status] 的視窗中檢視此啟用作業的狀態追蹤資訊。

完成了以上有關於稽核收集服務的設定之後,最後一個步驟便是我們需要將此元件所提供的報表範本進行匯入。匯入的方法很簡單,只要在將報表範本的檔案解壓縮到指定的資料夾之後,然後在命令提示列下切換到此路徑之下,接著執行 UploadAuditReports.cmd 手稿程式即可看到相關參數的使用方法,例如您的報表範本是在 C:\AuditReports\acs\Reports,而 SQL Server 2005 的報表伺服器網址是在 http://scom/reportserver,則您便需要輸入以下的命令範例:

UploadAuditReports scom http://scom/reportserver C:\AuditReportsacs\Reports

如圖9 所示便是成功完成報表範本匯入之後,我們切換到 [Reporting] 導覽頁面中點選 [Audit Reports] 的檢視結果。在預設的狀態下它提供了以下幾項內建的報表項目,可供IT人員針對目標的電腦、類別群組來設定日期與時間範圍進行瀏覽。

  • 帳戶管理事件:這部分包含了使用者帳戶的建立、刪除、啟用、停用,管理員群組的變更,群組成員的變更,帳戶密碼的變更,電腦帳戶的建立與刪除。
  • 存取安全的入侵事件:這部分包含了針對未經授權的嘗試存取事件以及帳戶被鎖住的事件進行收集。
  • 原則管制事件:這部分包含了針對 Windows 稽核原則設定的變更、物件權限的變更、帳戶原則的變更以及權限的新增與刪除事件進行收集。
  • 系統完整性事件:這部分包含了針對遺失的事件、稽核失敗以及事件記錄的清除進行事件的收集。


圖9 可用的安全稽核報表

 

結 論

記得我過去在使用 MOM 2005 的時候,總覺得它在 IT 集中管理方面的功能雖然很強,但是似乎無法讓 IT 人員可以很迅速的透過一個視覺化界面,在第一時間發現問題的癥結,而不至於弄錯了故障排除的正確方向,如今這個問題很顯然在最新的 SCOM 2007 更版設計中,已經藉由了 End-to-End Monitoring 的技術徹底解決了。緊接著在警示通知管理部分,過去我也經常在想說如何讓它可以結合企業 IM 系統的使用,如今這一項整合功能也已經被內建在 SCOM 2007 中了。最後在 Windows 安全稽核管理部分,在以往必須安裝協力廠商的管理組件才能夠做到,如今 SCOM 2007 提供了一個專屬的 ACS 服務來進行控管,更深入的記錄到企業中所有 Windows 的安全存取事件。由此可見 Microsoft 在企業IT管理上的解決方案,下了很大的功夫在收集 IT 實務上的真正需求所在,並且藉由這一些使用者經驗,讓全面改版設計的 SCOM 2007 更加完美。