使用 Operations Manager 中的稽核收集服務收集安全性事件
適用於: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
在 System Center 2012 – Operations Manager 中,稽核收集服務 (ACS) 能收集稽核原則所產生的記錄並儲存於集中式資料庫。 依預設,當稽核原則在 Windows 電腦上執行時,該電腦會將稽核原則產生的所有事件自動儲存到其本機安全性記錄中。 此點同時適用於 Windows 工作站及伺服器。 在具有嚴格的安全性需求的組織中,稽核原則可快速產生大量的事件。
只要使用 ACS,組織可將個別安全性記錄合併到集中管理的資料庫中,且能夠使用 Microsoft SQL Server 提供的資料分析及報表工具來篩選並分析事件。 使用 ACS 後,只有明確賦予 ACS 資料庫存取權限的使用者能夠對收集到的資料執行查詢並建立報表。
ACS 需要下列元件:
ACS 轉寄站
ACS 收集器
ACS 資料庫
UNIX 和 Linux 電腦可以支援稽核功能。 如需詳細資訊,請參閱本主題的UNIX 和 Linux 上的 ACS。
(請參閱使用稽核收集服務收集安全性事件主題的清單。)
ACS 轉寄站
在 ACS 轉寄站上執行的服務包含在 Operations Manager 代理程式中。 此服務為預設安裝,但在 Operations Manager 代理程式安裝時尚未啟用。 您可以使用 [啟用稽核收集] 工作同時對多部代理程式電腦啟用此服務。 啟用此服務後,所有的安全性事件將會傳送到 ACS 收集器和本機安全性記錄中。
ACS 收集器
ACS 收集器負責接收並處理從 ACS 轉寄站傳來的事件,再將此資料傳送到 ACS 資料庫。 這項處理工作包括反組譯資料以使其分散到 ACS 資料庫中的多個表格、資料備援最小化,以及套用篩選器以免不需要的事件新增到 ACS 資料庫中。
單一 ACS 收集器和 ACS 資料庫所能支援的 ACS 轉寄站數目不盡相同,取決於下列因素:
您的稽核原則所產生的事件數目。
ACS 轉寄站所監視的電腦角色 (例如網域控制站或成員伺服器)。
電腦上的活動層級。
執行 ACS 收集器和 ACS 資料庫的硬體。
如果環境中的單一 ACS 收集器含有過多的 ACS 轉寄站,可以安裝不止一個 ACS 收集器。 每個 ACS 收集器必須具有專屬的 ACS 資料庫。
ACS 收集器的需求如下:
Operations Manager 管理伺服器
Active Directory 網域的成員
至少 1 GB 的 RAM,建議準備 2 GB
至少 1.8 GHz 的處理器,建議使用 2.8 GHz 的處理器
至少 10 GB 的可用硬碟空間,建議準備 50 GB
在您打算安裝 ACS 收集器的每部電腦上,必須從 Microsoft 網站下載並安裝最新版本的 Microsoft Data Access Components (MDAC)。 若要瞭解 MDAC 的詳細資訊,請參閱Learning Microsoft Data Access Components (MDAC) (瞭解 Microsoft Data Access Components (MDAC))。
ACS 資料庫
ACS 資料庫是一個中央存放庫,用來存放 ACS 部署中稽核原則所產生的事件。 ACS 資料庫可以與 ACS 收集器位在同一部電腦上,但為獲得最佳效能,應將兩者各自安裝在專用的伺服器上。
ACS 資料庫的需求如下:
針對 System Center 2012 – Operations Manager:SQL Server 2005 或 SQL Server 2008。 您可以選擇現有或全新安裝的 SQL Server。 由於 ACS 資料庫的日常維護工作十分龐雜,因此建議您使用 SQL Server Enterprise Edition。
對於 System Center 2012 Service Pack 1 (SP1) 的 Operations Manager:SQL Server SQL 2008 R2 SP1、SQL Server 2008 R2 SP2、SQL Server 2012 或 SQL Server 2012 SP1。 由於 ACS 資料庫的日常維護工作十分龐雜,因此建議您使用 SQL Server Enterprise Edition。
至少 1 GB 的 RAM,建議準備 2 GB
.jpeg "System_CAPS_note")
注意事項如果您使用 SQL Server 2008 R2 或更早版本,且您的伺服器有超過 2 GB 的記憶體,則需要一些額外的設定步驟。 如需詳細資訊及所需執行的步驟,請參閱如何設定 SQL Server 使用超過 2 GB 的實體記憶體。 如需安裝及執行 SQL Server 2012 的最低硬體和軟體需求清單,請參閱安裝 SQL Server 2012 的硬體和軟體需求。
至少 1.8 GHz 的處理器,建議使用 2.8 GHz 的處理器
至少 20 GB 的可用硬碟空間,建議準備 100 GB
若使用 SQL Server Standard Edition,必須在每日維護作業期間暫停資料庫運作。 如此可能會導致 ACS 收集器佇列填滿來自 ACS 轉寄站的要求。 而滿載的 ACS 收集器佇列會造成 ACS 轉寄站與 ACS 收集器斷線。 ACS 轉寄站斷線後,需等到資料庫維護完成且佇列積存處理完畢後才能重新連線。 為確保不會遺失任何稽核事件,請配置足夠的硬碟空間以容納所有 ACS 轉寄站的本機安全性記錄。
SQL Server Enterprise Edition 在日常維護作業期間仍能夠以較低的效能持續處理 ACS 轉寄站要求。 如需 ACS 收集器佇列與 ACS 轉寄站中斷連線的詳細資訊,請參閱稽核收集服務容量規劃及監視稽核收集服務效能。
動態存取控制的 ACS 支援
System Center 2012 Service Pack 1 (SP1)Operations Manager 提供 Windows Server 2012 啟用之動態存取控制的 ACS 支援。
Windows Server 2012 可讓商務資料所有人輕鬆分類和標示資料,可針對商務關鍵的資料類別定義存取原則。 Windows Server 2012 中的法規遵循管理變得更有效率和更有彈性,因為存取和稽核原則不僅可以依據使用者和群組資訊,還可以依據一組更豐富的使用者、資源和環境宣告以及來自 Active Directory 和其他來源的內容。 使用者宣告 (例如角色、專案、組織)、資源內容 (例如加密) 以及裝置宣告 (例如健全狀況) 都可用來定義存取和稽核原則。
Windows Server 2012 增強了現有的 Windows ACL 模型,以支援動態存取控制,客戶可以在其中定義包含使用使用者和機器宣告以及資源 (例如檔案) 內容之條件的運算式型授權存取原則。 以下範例係供說明之用,並非實際的運算式表示:
若 User.Clearance >= Resource.Secrecy and Device,則允許讀取與寫入存取權。 Healthy
若 User.Project any_of Resource.Project,則允許讀取與寫入存取權
System Center 2012 Service Pack 1 (SP1) 有助於支援這些案例,它可讓企業上下全面檢視動態存取控制的使用情況,利用 Operations Manager 的稽核收集服務從相關電腦 (檔案伺服器、網域控制站) 收集事件,並提供報表讓稽核人員和法務人員報告動態存取控制的使用情況,例如原則中的稽核變更、物件存取 (成功與失敗) 以及套用某個原則的後果假設評估。
動態存取控制的設定
客戶不需要對處理動態存取控制資訊的 ACS 進行任何設定。 這項功能只能透過一組報表來互動。 不需要進行其他監視。
UNIX 和 Linux 上的 ACS
相較於 Windows 電腦,ACS 在 UNIX 和 Linux 電腦上的執行方式有幾項差異, 分別為:
您必須匯入適用於 UNIX 和 Linux 作業系統的 ACS 管理組件。
從 UNIX 和 Linux 電腦上的稽核原則產生的事件會轉寄至正在監視 UNIX 或 Linux 電腦之 Windows 管理伺服器的 Windows 安全性事件記錄檔,然後再收集到集中式資料庫中。
在管理伺服器上,寫入動作模組會剖析每一部受管理 UNIX 和 Linux 電腦的稽核資料,並將資訊寫入 Windows 安全性事件記錄檔。 資料來源模組會與部署在受管理 UNIX 和 Linux 電腦的代理程式通訊,以監視記錄檔。
每部受管理的 UNIX 或 Linux 電腦上都有一個代理程式 (適用於 UNIX/Linux 的 Operations Manager 代理程式)。
ACS 收集器架構已擴充為支援 UNIX 和 Linux 電腦所傳送的其他稽核資料內容與格式。