本文件已封存並已停止維護。

管理 Operations Manager 2007 中的稽核收集服務

更新日期: 2011年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

本主題說明如何在您的環境中設定、使用及維護稽核收集服務 (ACS) 實作。這包括 ACS 報表以及如何設定稽核物件和資料夾。應用程式、物件和資料夾的稽核是透過網域和本機層級的群組原則完成的。本文內容並不包括 ACS 規劃與部署工作。如需規劃與部署指示,請參閱《Operations Manager 2007 部署指南》。本主題假設 ACS 基礎架構已完成部署且正在運作。

設定與使用 ACS 的步驟包括:

  1. 規劃與實作您的稽核原則

  2. 設定 ACS 收集器的篩選器

  3. 設定與使用 ACS 報表

  4. 維護

研擬稽核規劃

ACS 會收集並儲存已啟用 ACS 之電腦的所有安全性事件記錄檔項目,而且完全不考慮這些事件的內容或其意義。您可自行決定需要擷取與儲存的事件,以達到貴組織的稽核需求。決定這些需求項目以及如何將這些需求轉換成可執行事項的程序稱為「研擬稽核規劃」。您可利用這項稽核規劃,透過網域或本機層級的群組原則物件來實作稽核原則。群組原則物件的設定可以讓安全性子系統在電腦或環境中發生特定事件或變更時,將事件寫入安全性事件記錄檔中。這個程序會建立 ACS 收集之稽核事件的記錄。

決定稽核項目

公司實作 ACS 的目的是為了因應各種法律與規範需求同時兼顧其本身的安全性,因此您無法自行決定需要稽核的項目。您必須與來自公司幾個不同領域的其他人共同合作,以研擬有效的稽核規劃。

  • IT 安全性 — 此團隊包括負責回應公司安全性事件以及研發 IT 安全性原則的人員。這些人員應該非常瞭解貴公司應該擷取哪些類型的事件和變更,才能滿足其法律與規範需求。

  • 管理與法律 — 這些人員負責確保公司能夠確實遵守法規政策。他們可能對於這些政策有非常深入的瞭解,而能夠協助釐清他們所需要的資訊類型。

  • 業務流程負責人 — 業務流程負責人最瞭解他們用來執行業務的應用程式中所發生的活動和事件。這些事件和活動可用來對應到法律與管理等領域的需求。您必須瞭解這些事件和活動以及其發生位置,才能對其進行稽核。

一般來說,稽核所有的活動和變更並擷取所有的事件不僅成效不彰,而且效率也不高。這種方法將導致系統收集大量的干擾事件,這些事件可能讓您忽略了重建一系列事件時真正需要的資料,因而妨礙到整體流程。

稽核最佳作法

每一家公司都有其獨特的業務需求和 IT 環境。因此,各公司的稽核原則也都是獨一無二的。您選擇稽核的內容由您決定。以下提供一些有關稽核內容的一般建議:

  • 稽核系統事件類別中的成功與失敗事件。

  • 稽核網域控制站上原則變更類別中的成功事件。

  • 稽核帳戶管理類別中的成功事件。

  • 稽核登入事件類別中的成功事件。

  • 稽核網域控制站上帳戶登入事件類別中的成功事件。

  • 請具體設定稽核物件。

如需與稽核安全性事件相關的其他建議,請參閱稽核安全性事件最佳作法 (http://go.microsoft.com/fwlink/?LinkId=120541)。

實作您的稽核原則

您可視需要修改及套用網站控制站稽核群組原則、網域稽核群組原則和本機稽核群組原則,以便在您的環境中實作稽核規劃。如果稽核規劃要求您必須追蹤與 Active Directory 或是與檔案等物件的互動,您也必須設定這些物件的系統存取控制清單 (SACL)。如需稽核與 Windows 安全性的深入資訊,請參閱 Windows Server 2003 產品說明稽核原則 (http://go.microsoft.com/fwlink/?LinkId=120260) 以及特別報導:Windows Server 2008:Windows Server 2008 中的稽核與規範 (http://go.microsoft.com/fwlink/?LinkId=120263)。

您可以在 [系統管理工具] 資料夾的 [本機安全性設定] 中找到稽核原則的設定。網域控制站的稽核原則只要定義一次就會套用到所有的網域控制站。您可透過 [系統管理工具] 資料夾中的 [網域控制站安全性原則] 工具來完成這個動作。其他網域成員電腦的稽核原則可在 [網域安全性原則] 工具中定義;您可在所有網域控制站上的 [系統管理工具] 中找到這個工具。Windows Server 2003 和 Windows Vista 共有九種通用稽核原則類別 (如下列清單所示),而 Windows Server 2008 則還有另外幾種類別:

  • 稽核帳戶登入事件

  • 稽核帳戶管理

  • 稽核目錄服務存取

  • 稽核登入事件

  • 稽核物件存取

  • 稽核原則變更

  • 稽核特殊權限使用

  • 稽核程序追蹤

  • 稽核系統事件

在成員伺服器上,上列每一種稽核原則類別都可以設定為 [成功]、[失敗] 或 [沒有稽核]。在網域控制站上,網域控制站安全性原則和網域安全性原則的選項都是 [定義這些原則設定]、[成功]、[失敗] 或 [沒有稽核]。在這種情況下,[沒有稽核] 代表已選取 [定義這些原則設定] 選項,但是並未選取成功或失敗選項。請注意,[成功] 和 [失敗] 不是互斥選項,可以同時選取。使用稽核目錄服務存取與稽核物件存取稽核類別時,您還必須為想要稽核的物件設定 SACL。

在獨立伺服器上存取稽核原則類別

  1. 按一下 [開始],並依序選取 [系統管理工具] 和 [本機安全性原則]。

  2. 展開 [本機原則] 節點以顯示 [稽核原則] 節點。結果窗格中將會列出九種稽核原則類別。

  3. 按兩下您有興趣的稽核原則,開啟其內容頁面。您可以從這裡選擇稽核互動時的成功和失敗嘗試,也可以在 [解說此設定] 索引標籤上取得該稽核原則的說明。

  4. 按一下 [確定] 儲存設定。

存取網域控制站安全性原則

  1. 使用網域系統管理員權限登入網域控制站。

  2. 按一下 [開始],並依序選取 [系統管理工具] 和 [網域控制站安全性原則]。

  3. 展開 [本機原則] 節點以顯示 [稽核原則] 節點。結果窗格中將會列出九種稽核原則類別。

  4. 按兩下您有興趣的稽核原則,開啟其內容頁面。您可以從這個頁面選取 [定義這些原則設定值],然後再視需要選擇稽核 [成功] 和/或 [失敗] 嘗試。

note附註
若要存取網域安全性原則,請依照「存取網域控制站安全性原則」程序中,用來存取網域控制站安全性原則的相同程序執行,但請在步驟 2 中改選 [網域安全性原則]。

準備環境

本主題假設您已在 Operations Manager 2007 環境中成功部署 ACS 收集器伺服器角色和資料庫。除此之外,您還應該已經將 Operations Manager 2007 代理程式部署到收集稽核資訊的來源電腦。這些電腦應該會出現在 Operations Manager 2007 Operations 主控台 [系統管理] 檢視的 [代理程式管理] 資料夾中。

安全性事件記錄大小

ACS 轉寄站會將受監視電腦傳回的所有安全性事件,即時傳送到 ACS 收集器伺服器。在執行這項操作時,它會更新指出上次成功傳送至 ACS 收集器之事件的標準。為了顧及效能與可靠性,CS 收集器伺服器會緩衝處理傳入的事件。如果 ACS 轉寄站無法與 ACS 收集器通訊,只要安全性事件可以寫入安全性事件記錄檔中,ACS 就不會遺失這些事件。等到通訊功能恢復之後,ACS 就會查詢標準,並從上次停止的位置繼續傳送事件。實際上,安全性事件記錄檔是 ACS 轉寄站可以視需要使用的緩衝區。

為了讓安全性事件記錄檔的緩衝程序能夠發揮作用,記錄檔大小必須足以容納當轉寄站對收集器通訊失敗時,可能會寫入記錄檔中的所有事件。不論使用下列哪一種安全性記錄檔保留方法,都必須符合這個條件:[依日期覆寫事件]、[視需要覆寫事件] 或 [不覆寫事件 (手動清除記錄檔)]。

在 Windows Server 2003 (任何版本) 中,安全性事件記錄檔的大小上限是 4 GB。此大小上限可於本機在記錄檔本身的內容設定,也可以針對加入網域之電腦,在網域層級的 [網域安全性原則] 中設定,或是針對所有的網域控制站,在 [網域控制站安全性原則] 中設定。

啟用 ACS 轉寄站

現在您已擬定稽核規劃並透過稽核原則實作該規劃。您可以開始從所需電腦的安全性記錄檔收集稽核的事件。ACS 轉寄站元件內嵌在 Operations Manager 代理程式中,且預設為停用。在啟用此元件之後,ACS 轉寄站便會將所有的安全性事件記錄檔事件,傳送到其設定之傳送目標的 ACS 收集器。ACS 轉寄站可以透過 Operations 主控台啟用,或是以程式方式利用 Windows PowerShell 的 Operations Manager 2007 命令殼層延伸模組來啟用。

透過 Operations 主控台啟用 ACS 轉寄站

  1. 使用管理領域涵蓋您要啟用 ACS 之代理程式的帳戶,登入 Operations Manager 主控台。在您要啟用作為 ACS 轉寄站的各代理程式電腦上,此帳戶並不需要具備本機系統管理員的權限。您可以在執行「啟用稽核收集」工作時提供這些認證。

  2. 在 Operations 主控台中,按一下 [監視中] 按鈕。

  3. 在 [監視中] 窗格中,展開 [Operations Manager],再展開 [代理程式],然後按一下 [代理程式健全狀況狀態]。此檢視有兩個窗格,而本程序中的動作是在右邊的窗格中執行。

  4. 在詳細資料窗格中,按一下您要啟用作為 ACS 轉寄站的所有代理程式。可按住 CTRL 或 SHIFT 進行多重選取。

  5. 在 [動作] 窗格中的 [健全狀況服務工作] 下,按一下 [啟用稽核收集]。會顯示 [執行工作 - 啟用稽核收集] 對話方塊。

  6. 在 [工作參數] 區段中,按一下 [覆寫]。[覆寫工作參數] 對話方塊即會顯示。

  7. 在 [以新值覆寫工作參數] 區段中,按一下 CollectorServer 參數;在 [新值] 欄中,輸入完整網域名稱 (FQDN) 和 ACS 收集器,然後按一下 [覆寫]。

  8. 在 [工作認證] 區段中,按一下 [其他]。在 [使用者名稱] 方塊中,鍵入屬於代理程式電腦上本機 Administrators 群組的使用者帳戶名稱。在 [密碼] 方塊中,鍵入此使用者帳戶的密碼。按一下展開 [網域] 下拉式清單以檢視可用網域,然後按一下使用者帳戶的網域。

  9. 按一下 [執行工作]。[工作狀態] 對話方塊會顯示工作的追蹤進度。

  10. 當工作成功完成時,按一下 [關閉]。

note附註
如果需要變更已指派 ACS 轉寄站的 ACS 收集器,請使用此相同程序,但您必須在 [以新值覆寫工作參數] 欄位中鍵入所需新 ACS 轉寄站的 FQDN。

產品 CD 中包含 Windows PowerShell 指令碼,可用來啟用及停用 ACS 轉寄站。這些指令碼需要一組認證,而且這組認證必須具有您要啟用 ACS 之每一台電腦的系統管理員權限,以及 ACS 收集器伺服器的名稱。這些指令碼位於產品 CD 的 \acs\amd64 或 acs\i386 目錄底下。用來啟用 ACS 轉寄站的指令碼名為 EnableForwarding.ps1,而用來停用 ACS 轉寄站的指令碼則為 DisableForwarding.ps1

鎖定電腦群組啟用的 ACS 轉寄站

  1. 使用系統管理員角色的帳戶登入 Operations 主控台,然後瀏覽至 [監視中] 檢視。

  2. 在 [監視中] 檢視中,選取 [已探索的清查] 物件,然後在 [動作] 窗格中選取 [變更目標類型...]。

  3. 確定已選取 [檢視所有目標] 選項,然後在 [目標] 欄中選取 [電腦群組]。這個動作可列出管理群組中所有探索到的電腦群組。

  4. 選取您要啟用 ACS 轉寄站的電腦群組,然後按一下滑鼠右鍵,開啟內容功能表。

  5. 從內容功能表,按一下 [開啟],然後按一下 [命令殼層...]。這個動作可以將命令殼層視窗的焦點移到選取的電腦群組。如果您想查看哪些電腦包含在選取的群組中,請輸入 dir 顯示清單。

  6. 在命令殼層命令提示字元下,輸入您要使用之指令碼的完整路徑,後面加上 ACS 收集器安裝位置的伺服器名稱,例如:d:\selectcdimage\acs\i386\enableforwarding.ps1 ContosoACSCollector。系統將提示您輸入認證;輸入的認證必須擁有您所使用之工作管理群組中所有代理程式管理電腦的系統管理權限。您必須以 domain\username 的格式提供這些認證。

note附註
如果需要變更已指派 ACS 轉寄站的 ACS 收集器,請使用此相同程序,但請輸入 d:\selectcdimage\acs\i386\enableforwarding.ps1 <NameOfDesiredCollectorContosoACSCollector>。

設定收集器端篩選器

實作 ACS 的第一個步驟是確定需要的事件已經寫入所需電腦的安全性事件記錄檔中。這些事件加上依預設寫入至安全性事件記錄檔的所有事件,全都會傳送到 ACS 收集器。這可能會讓系統將非常大量的事件傳送到收集器,由其進行處理並插入 ACS 資料庫中。

減少傳送的資料量並協助消除干擾事件,您可以在 ACS 收集器上設定篩選器。此篩選器會格式化為 Windows Management Instrumentation 查詢語言 (WQL) 查詢。預設篩選器是 select * from AdtsEvent,其代表接受所有的傳入事件。篩選器可透過 AdtAdmin 命令列公用程式來控制。可以定義的篩選器具有排除性質。這表示您只能將篩選器設定成依據事件識別碼或服務名稱來排除事件。

您可以在 \Program Files\System Center Operations Manager 2007\acs\<platform> 資料夾中找到 AdtAdmin 公用程式。如需 AdtAdmin 參數和選項的完整清單,請參閱 Operations Manager 2007 線上說明。AdtAdmin 共有 12 個參數。這些參數中只有兩個與設定收集器網站篩選器有關,如下列清單所述。如需 AdtAdmin 參數的完整清單,請使用 /? 參數執行 AdtAdmin 命令。

 

參數 描述

-getquery

顯示 ACS 收集器上的作用中 WQL 查詢

-setquery

設定 ACS 收集器用來篩選稽核事件資料的 WQL 查詢

決定要篩選掉的事件

在研擬稽核規劃及實作稽核原則時,您已定義需要擷取及儲存的事件。除了干擾事件與篩選掉的事件以外,所有的事件都包含在內。雖然何謂干擾事件以及何謂重要事件最後都是由您決定,但是您還是可以在 Security Monitoring and Attack Detection Planning Guide (安全性監視與攻擊偵測規劃指南) (http://go.microsoft.com/fwlink/?LinkId=120864) 的附錄 A 中找到一份建議的干擾事件清單。這份清單為您提供了篩選規劃的最佳起點,而且清單中還提供了事件的描述。除了這份清單之外,您也應該參閱 Operations 主控台的 [報表] 檢視中 [稽核報表] 資料夾底下的 [Planning_-_Event_Counts] 報表。這份報表依事件識別碼將收到的所有稽核事件分組。報表中依識別碼列出事件的數目,以及任何單一事件類型佔事件總數的百分比。在您開始收集事件也知道各種事件類型的含義之後,便可利用這份報表幫助您找出最常發生的干擾事件。

Warning警告
在稽核時排除任何資訊都有一定的風險,但是您必須根據增加事件收集負載與代理程式負載所產生的效能與硬體成本,評估這項風險的高低。

如何設定篩選器

您可使用 AdtAdmin –setquery 命令設定篩選器的查詢。這個命令有 –collector–query, 兩個子參數,您必須分別使用這兩個子參數指定要連線到哪個收集器,以及指定查詢的語法。

使用 AdtAdmin-setquery 設定 ACS 收集器

  1. 使用 Operations Manager 2007 系統管理員角色成員的帳戶,登入您要設定篩選器的 ACS 收集器伺服器。

  2. 開啟命令提示字元,然後瀏覽到 \Program Files\System Center Operations Manager 2007\acs\<platform> 目錄。

  3. 使用下列語法輸入命令:adtadmin –setquery –collector:<collectorname> -query:<querysyntax>

例如,下列查詢會篩選掉由系統、本機服務和網路服務等服務所產生的事件,同時也會篩選掉具有指定事件識別碼的事件:

adtadmin -setquery -collector:"Collector Name" /query:"SELECT * FROM AdtsEvent WHERE NOT ((HeaderUser='SYSTEM' OR HeaderUser='LOCAL SERVICE' OR HeaderUser='NETWORK SERVICE') OR (EventId=538 OR EventId=566 OR EventId=672 OR EventId=680 OR (EventId>=541 AND EventId<=547)))"

確認篩選器是否有效

  1. 開啟 Operations 主控台,然後在 [監視中] 檢視開啟 [Microsoft 稽核收集服務] 資料夾。

  2. 開啟 [收集器] 資料夾,再開啟 [狀態檢視],並確認收集器是否處於狀況良好的狀態。

  3. 如果收集器未處於狀況良好的狀態,請查看收集器的 [事件檢視],找出事件 OpppsMgr log\ADtServer 4670 The collector was unable to start because it was unable to initialize the WMI provider

如需 WQL 查詢語法的詳細資訊,請參閱 Querying with WQL (使用 WQL 進行查詢) (http://go.microsoft.com/fwlink/?LinkId=74151) 以及 WMI and SQL (WMI 和 SQL) (http://go.microsoft.com/fwlink/?LinkID=120966)。

ACS 報表

在 ACS 收集器收到稽核資料並篩選輸入事件之後,這些事件將會經過處理,以合併通用欄位並移除無關的資料,然後再將事件插入 ACS 資料庫中。根據預設,ACS 資料保存在資料庫的時間是 14 天,不過您可以修改這項設定。Operations Manager 透過其報表功能,使您可以檢視及使用這些資料。您必須安裝一組專門用於 ACS 資料的報表定義,才能存取 ACS 資料。本程序假設您已安裝 ACS 報表。如需安裝 ACS 報表的詳細資訊,請參閱部署 Operations Manager 2007 ACS 報表 (http://go.microsoft.com/fwlink/?LinkId=120983)。

ACS 報表可從 Operations 主控台的 [報表] 檢視存取。這些報表位於 [報表] 資料夾底下的 [稽核報表] 中。ACS 報表會安裝 18 份報表和兩個稽核報表範本。當您要在 Microsoft SQL Server 報表產生器中建立全新的稽核報表時,請使用稽核報表範本。存取報表產生器的方法是按一下 [動作] 窗格中的 [設定新報表] 連線。以下為報表的清單:

  • Access_Violation_-_Unsuccessful _Logon_Attempts

  • Account_Management_-_Domain_and_Built-in_Administrators_Changes

  • Account_Management_-_Passwords_Change_Attempts_by_Non-owner

  • Account_Managment_-_User_Accounts_Created

  • Account_Management_-_User_Accounts_Deleted

  • Forensic_-_All_Events_For_Specified_Computer

  • Forensic_-_All_Events_For_Specified_User

  • Forensic_-_All_Events_With_Specified_Event_ID

  • Planning_-_Event_Counts

  • Planning_-_Event_Counts_By_Computer

  • Planning_-_Hourly_Event_Distribution

  • Planning_-_Logon_Counts_of_Privileged_Users

  • System_Integrity_-_Audit_Failure

  • System_Integrity_-_Audit_Log_Cleared

  • Usage_-_Object_Access

  • Usage_-_Privileged_Logon

  • Usage_-_Sensitive_Security_Groups_Changes

  • Usage_-_User_Logon

  • Audit_Report_Template

  • Audit5_Report_Template

使用報表

[報表] 檢視中有四個資料夾:

  • [報表] — 這個資料夾包含已發行到 SQL Server Reporting Services (SSRS) 網站的所有報表,包括作為管理組件之元件匯入的所有報表、使用報表產生器工具設計與儲存的報表,以及您所自訂、儲存及發行而可公開使用的任何報表。

  • [撰寫的報表] — 這個資料夾包含您已從 [報表] 資料夾修改並發行到 SSRS 網站的報表。根據預設,這些資料夾並未開放檢視,只能供報表發行者檢視。這一點適用於透過 Operations 主控台或 SSRS 網站存取報表的情況;在這兩個位置,報表都會顯示在 [我的報表] 資料夾中。

  • [我的最愛] — 這個資料夾適用於您經常使用的報表,以及想要透過 Operations Manager Web 主控台提供的報表。您可以預設發行報表的參數、執行該報表,然後再從該報表的 [檔案] 功能表,選取 [儲存至我的最愛...]。

  • [排程的報表] — 這個資料夾適用於執行一次或按定期執行的報表。排程報表有助於將轉譯的報表傳送到不同的位置,例如檔案共用,或是傳送到各種格式的電子郵件地址,例如 Microsoft Office Excel、.PDF、TIFF、CSV 等等。

如需執行、發行和使用報表的詳細資訊,請參閱本指南中的在 Operations Manager 2007 中管理報表,以及操作使用者指南中的 Reporting in Operations Manager 2007 (Operations Manager 2007 中的報表) 主題

Tip秘訣
ACS 報表尚未與 Operations Manager 報表完全整合;因此,在產生 ACS 報表時使用排程和相對日期可能無法產生需要的結果。

維護

ACS 基礎結構的日常管理維護工作非常少。大部分的情況下,您可能需要變更在安裝過程中設定的資料保留期限,以及變更轉寄站搭配使用的收集器。如需如何變更作為 ACS 轉寄站報表提交目標的 ACS 收集器,請參閱本主題前面的啟用 ACS 轉寄站一節。

變更 ACS 資料保留期限

Operations Manager 會按照可設定的間隔,定期清理或移除各種資料庫中的資料。Operations 資料庫的這項工作是在 Operations 主控台執行。ACS 資料庫的這些設定則是在安裝過程中設定,其預設值為 14 天,代表系統每天都會捨棄或刪除超過 14 天的所有資料庫分割 (及其資料)。由於 ACS 可能累積大量的資料,因此 14 天是非常合理的設定值。不過,有些公司可能需要將資料保留一段較長的時間,因此必須已經在針對其環境進行大小與效能的計算時規劃較長的保留期限。您可以依照此程序來變更 ACS 資料的保留期限。

變更 ACS 資料保留期限

  1. 使用具備 ACS 資料庫系統管理權限的帳戶,登入執行主控 ACS 資料庫之 SQL Server 的電腦。

  2. 開啟 SQL Server Management Studio 工具,並連線到資料庫引擎。

  3. 展開 [資料庫] 資料夾,並選取 [OperationsManagerAC] 資料庫。

  4. 按一下滑鼠右鍵開啟內容功能表,然後選取 [新增查詢...]。

  5. 在 [查詢] 窗格中,輸入下列命令,其中 number of days to retain data + 1 等於刪除超過該時間的資料之前所需經過的天數。例如,如果您想保留資料 30 天,請輸入31

    USE OperationsManagerAC UPDATE dtConfig SET Value = <number of days to retain data + 1> WHERE Id = 6 ,然後在工具列上按一下 [執行] 按鈕。這會執行查詢,然後開啟 [訊息] 窗格;窗格中應該會顯示 [(1 個資料列受影響]。

  6. 若要檢視新設定,請從 [查詢] 窗格刪除先前的查詢文字,並輸入 SELECT * FROM dtConfig。這個動作會開啟 [查詢] 窗格底下的 [結果] 窗格。

  7. 查詢第六列的值;這個值現在應該等於您所輸入的 <number of days to retain data + 1> 的值。

  8. 重新啟動 [Operations Manager 稽核收集服務],讓這項設定生效。

 
顯示: