• Статья

Инструкции по фильтрации событий ACS для UNIX и Linux компьютеров

 

Применимо к:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

По умолчанию ACS собирает и хранит каждое событие записывается в журнал событий безопасности Windows. Большое количество событий может затруднить для выявления потенциальных проблем. Требуется собирать события безопасности, отвечающие требованиям к безопасности и аудита.

Рекомендуется архивировать данные с помощью ACS Archiver и его восстановления журнала репозиторий. Из этого репозитория можно запустить фильтрации. Следующая процедура позволяет поддерживать все события аудита и оптимизировать производительность отчета данные аудита. Например можно сохранять все события успешного входа в систему (540,528), но не включаются в отчет в них, если аудит. 

Чтобы отфильтровать идентификаторы событий с помощью AdtAdmin

  1. В командной строке перейдите в каталог рабочий %windir%\system32\security\AdtServer.

  2. В командной строке задайте параметры запроса, указав AdtAdmin/Query/setquery: "выберите * из AdtsEvent там, где не (EventID = 560 или EventID = 562 или...)», которых EventIDs в списке событий аудита, учитывается в журнале событий.

    Так, чтобы задать фильтр, чтобы только события безопасности UNIX и Linux регистрируются в журнале событий безопасности Windows, задайте параметры запроса, указав AdtAdmin/Query/setquery: "выберите * из AdtsEvent там, где не (EventID = 560 или EventID = 562 или EventID = 569 или EventID = 570 или EventID = 571 или EventID = 26401 или EventID = 4665 или EventID = 4666 или EventID = 4667 или EventID = 4624 EventID или = 4634 EventID или = 4648 или EventID = 5156 или EventID = 4656 или EventID = 4658 или EventID = 5159) ".

Дополнительные сведения об использовании AdtAdmin.exe см. в разделе Администрирование служб ACS (AdtAdmin.exe).