OpsMgr: Audit Collection Service jako usługa zarządzania logiem zabezpieczeń na platformie Windows, cz. 3

  • Artykuł

Udostępnij na: Facebook

Autor: Joanna Subik

Opublikowano: 2010-12-23

Narzędzie dla ACS – adtadmin.exe

Jednym z większych problemów, jakie może napotkać administrator SCOM podczas próby szczegółowego tuningowania ustawień usługi ACS, jest całkowity brak możliwości zarządzania jej ustawieniami z poziomu konsoli Operations Managera. Jedynym narzędziem umożliwiającym kontrolę collectora oraz klientów forwarders jest adtadmin.exe, który należy uruchomić z wiersza poleceń na serwerze pełniącym rolę ACS Collector.

Rys. 10. Uruchomienie narzędzia adtadmin.exe.

Składnia polecenia wygląda następująco: adtadmin.exe /przełącznik /opcja

W zależności od akcji, jaka powinna zostać wykonana, narzędzia adtadmin.exe należy użyć z jednym lub wieloma przełącznikami:

  1. /AddGroup – tworzy nową grupę na collectorze.
  2. /DelGroup – kasuje  grupę z collectora.
  3. /ListGroup – listuje wszystkie grupy działające w obrębie collectora.
  4. /UpdGroup – zmienia nazwę istniejącej grupy.
  5. /ListForwarder – przedstawia listę klientów przekazujących podłączonych do collectora (z wyświetleniem wartości priorytetu, identyfikatora SID oraz nazwy forwardera).
  6. /UpdForwarder – zmienia wartość przypisanego priorytetu, grupę i nazwę forwardera.
  7. /Disconnect – odłącza pojedynczego klienta przekazującego lub całą ich grupę od collectora.
  8. /Stats – przedstawia informacje na temat wybranego forwardera lub całej grupy.
  9. /GetDBAuth – przedstawia metodę uwierzytelniania wykorzystywaną przez collector w celu nawiązania połączenia z bazą danych ACS.
  10. /SetDBAuth – zezwala na skonfigurowanie metody uwierzytelniania, która będzie wykorzystywana przez collector w celu nawiązania połączenia z bazą danych ACS.
  11. /GetQuery – przedstawia zapytanie będące obecnie w użyciu w celu przefiltrowania zdarzeń (eventów) przed zapisaniem ich do bazy danych ACS.
  12. /SetQuery – zezwala na zapisanie zapytania wykorzystywanego do filtrowania zdarzeń typu security przed ich zapisaniem do bazy danych ACS.

Aby uszczegółowić polecenie wydane serwerowi ACS, można (a niekiedy wręcz trzeba) użyć jednej z poniższych opcji w połączeniu z powyżej opisanymi przełącznikami:

  • /Collector:Collectorname – określa, do jakiego collectora ma zostać przypisana określona komenda.
  • /Group:GroupName – określa, do jakiej grupy ma zostać przypisana określona komenda. /GroupID:GroupID – wskazuje lub zmienia identyfikator grupy w bazie danych.
  • /Forwarder:ForwarderName – wskazuje nazwę określonego forwardera.
  • /ForwarderID:ForwarderID – wskazuje lub zmienia identyfikator forwardera w bazie danych ACS.
  • /ForwarderSID:ForwarderSID – wskazuje forwardera na podstawie jego identyfikatora SID.
  • /Name:NewName – określa nową nazwę dla forwardera lub grupy podczas użycia razem z opcjami /Group lub /Forwarder.
  • /Value:PriorityValue – przypisuje nowy priorytet do klienta przekazującego lub grupy.
  • /GroupValue – określa priorytet grupy, który powinien być użyty przez klientów przekazujących, zamiast domyślnie skondigurowanej wartości.

Przykłady wykorzystania powyższych przełączników wraz z opcjami można znaleźć w pomocy narzędzia adtadmin.exe.

Interesująca jest możliwość skonfigurowania priorytetów dla klientów przekazujących, o czym kilkakrotnie zostało wspomniane. Kiedy komputer zostaje skonfigurowany jako forwarder, zostaje mu przypisana domyślna wartość 1. Aby móc sterować kolejnością odłączania klientów przekazujących od collectora (np. w przypadku ryzyka przepełnienia kolejki), należy ustawić różne priorytety dla klientów, albo jeszcze lepiej – utworzyć nową grupę z określonym priorytetem i przypisać do niej odpowiednich klientów przekazujących. Kiedy już administrator jest zdecydowany na zmianę priorytetu, ma do wyboru dwie możliwości:

  1. zmienić priorytet poszczególnych forwarderów tak, by uznane krytyczne miały możliwie najwyższy priorytet,
  2. tak skonfigurować forwardera, by używał priorytetu grupy, do której należy.

Przypisując wartość poszczególnym klientom przekazującym, administrator ma do dyspozycji wartości z przedziału 1–99, gdzie wartość 99 ma najwyższy priorytet. Jeśli klienci będą używali priorytetu grupy, do której należą, trzeba przypisać im wartość 1. Istnieje jeszcze jedna ciekawa wartość, o której należy wspomnieć: 0 – przypisywane w momencie, kiedy zachodzi konieczność ignorowania zdarzeń z określonego forwardera. Oczywiście będzie on cały czas próbował wysyłać zdarzenia do collectora, nie będą one jednak brane pod uwagę. Zdecydowanie zalecaną metodą jest całkowite wyłączenie forwardera z konsoli Operations Managera zamiast ignorowanie wysyłanych przez niego zdarzeń; rozwiązanie takie może jednak być potraktowane jako tymczasowe.

Poleceniem, które pozwoli ustawić priorytet = 50 dla klienta przekazującego o nazwie MARS, jest: Adtadmin /updforwarder /forwarder:MARS /value:50

Poleceniem, które ustawi określony wcześniej priorytet grupy dla danego klienta przekazującego, jest:

Adtadmin /updforwarder /forwarder:MARS /groupvalue

Podsumowanie

Powyższy artykuł miał na celu pokazanie kilku możliwości optymalizacji usługi ACS dla konkretnych wymagań danego środowiska. Przedstawiono również kilka widoków wydajnościowych, domyślnie instalowanych wraz z usługą ACS. Narzędziem pozwalającym na szczegółową konfigurację i dostosowanie Audit Collection Service jest adtadmin.exe, uruchamiany wyłącznie z konsoli.