OpsMgr: Audit Collection Service jako usługa zarządzania logiem zabezpieczeń na platformie Windows, cz. 3
Autor: Joanna Subik
Opublikowano: 2010-12-23
Narzędzie dla ACS – adtadmin.exe
Jednym z większych problemów, jakie może napotkać administrator SCOM podczas próby szczegółowego tuningowania ustawień usługi ACS, jest całkowity brak możliwości zarządzania jej ustawieniami z poziomu konsoli Operations Managera. Jedynym narzędziem umożliwiającym kontrolę collectora oraz klientów forwarders jest adtadmin.exe, który należy uruchomić z wiersza poleceń na serwerze pełniącym rolę ACS Collector.
Rys. 10. Uruchomienie narzędzia adtadmin.exe.
Składnia polecenia wygląda następująco: adtadmin.exe /przełącznik /opcja
W zależności od akcji, jaka powinna zostać wykonana, narzędzia adtadmin.exe należy użyć z jednym lub wieloma przełącznikami:
- /AddGroup – tworzy nową grupę na collectorze.
- /DelGroup – kasuje grupę z collectora.
- /ListGroup – listuje wszystkie grupy działające w obrębie collectora.
- /UpdGroup – zmienia nazwę istniejącej grupy.
- /ListForwarder – przedstawia listę klientów przekazujących podłączonych do collectora (z wyświetleniem wartości priorytetu, identyfikatora SID oraz nazwy forwardera).
- /UpdForwarder – zmienia wartość przypisanego priorytetu, grupę i nazwę forwardera.
- /Disconnect – odłącza pojedynczego klienta przekazującego lub całą ich grupę od collectora.
- /Stats – przedstawia informacje na temat wybranego forwardera lub całej grupy.
- /GetDBAuth – przedstawia metodę uwierzytelniania wykorzystywaną przez collector w celu nawiązania połączenia z bazą danych ACS.
- /SetDBAuth – zezwala na skonfigurowanie metody uwierzytelniania, która będzie wykorzystywana przez collector w celu nawiązania połączenia z bazą danych ACS.
- /GetQuery – przedstawia zapytanie będące obecnie w użyciu w celu przefiltrowania zdarzeń (eventów) przed zapisaniem ich do bazy danych ACS.
- /SetQuery – zezwala na zapisanie zapytania wykorzystywanego do filtrowania zdarzeń typu security przed ich zapisaniem do bazy danych ACS.
Aby uszczegółowić polecenie wydane serwerowi ACS, można (a niekiedy wręcz trzeba) użyć jednej z poniższych opcji w połączeniu z powyżej opisanymi przełącznikami:
- /Collector:Collectorname – określa, do jakiego collectora ma zostać przypisana określona komenda.
- /Group:GroupName – określa, do jakiej grupy ma zostać przypisana określona komenda. /GroupID:GroupID – wskazuje lub zmienia identyfikator grupy w bazie danych.
- /Forwarder:ForwarderName – wskazuje nazwę określonego forwardera.
- /ForwarderID:ForwarderID – wskazuje lub zmienia identyfikator forwardera w bazie danych ACS.
- /ForwarderSID:ForwarderSID – wskazuje forwardera na podstawie jego identyfikatora SID.
- /Name:NewName – określa nową nazwę dla forwardera lub grupy podczas użycia razem z opcjami /Group lub /Forwarder.
- /Value:PriorityValue – przypisuje nowy priorytet do klienta przekazującego lub grupy.
- /GroupValue – określa priorytet grupy, który powinien być użyty przez klientów przekazujących, zamiast domyślnie skondigurowanej wartości.
Przykłady wykorzystania powyższych przełączników wraz z opcjami można znaleźć w pomocy narzędzia adtadmin.exe.
Interesująca jest możliwość skonfigurowania priorytetów dla klientów przekazujących, o czym kilkakrotnie zostało wspomniane. Kiedy komputer zostaje skonfigurowany jako forwarder, zostaje mu przypisana domyślna wartość 1. Aby móc sterować kolejnością odłączania klientów przekazujących od collectora (np. w przypadku ryzyka przepełnienia kolejki), należy ustawić różne priorytety dla klientów, albo jeszcze lepiej – utworzyć nową grupę z określonym priorytetem i przypisać do niej odpowiednich klientów przekazujących. Kiedy już administrator jest zdecydowany na zmianę priorytetu, ma do wyboru dwie możliwości:
- zmienić priorytet poszczególnych forwarderów tak, by uznane krytyczne miały możliwie najwyższy priorytet,
- tak skonfigurować forwardera, by używał priorytetu grupy, do której należy.
Przypisując wartość poszczególnym klientom przekazującym, administrator ma do dyspozycji wartości z przedziału 1–99, gdzie wartość 99 ma najwyższy priorytet. Jeśli klienci będą używali priorytetu grupy, do której należą, trzeba przypisać im wartość 1. Istnieje jeszcze jedna ciekawa wartość, o której należy wspomnieć: 0 – przypisywane w momencie, kiedy zachodzi konieczność ignorowania zdarzeń z określonego forwardera. Oczywiście będzie on cały czas próbował wysyłać zdarzenia do collectora, nie będą one jednak brane pod uwagę. Zdecydowanie zalecaną metodą jest całkowite wyłączenie forwardera z konsoli Operations Managera zamiast ignorowanie wysyłanych przez niego zdarzeń; rozwiązanie takie może jednak być potraktowane jako tymczasowe.
Poleceniem, które pozwoli ustawić priorytet = 50 dla klienta przekazującego o nazwie MARS, jest: Adtadmin /updforwarder /forwarder:MARS /value:50
Poleceniem, które ustawi określony wcześniej priorytet grupy dla danego klienta przekazującego, jest:
Adtadmin /updforwarder /forwarder:MARS /groupvalue
Podsumowanie
Powyższy artykuł miał na celu pokazanie kilku możliwości optymalizacji usługi ACS dla konkretnych wymagań danego środowiska. Przedstawiono również kilka widoków wydajnościowych, domyślnie instalowanych wraz z usługą ACS. Narzędziem pozwalającym na szczegółową konfigurację i dostosowanie Audit Collection Service jest adtadmin.exe, uruchamiany wyłącznie z konsoli.