SCOM2012功能測試(27)—安全審計

時間  2020-07-15
標籤 scom2012 scom 功能 測試 安全 審計 欄目 系統安全 简体版
原文   原文鏈接

27.安全審計

安全審計是針對安全日誌作的一套安全解決方案。要進行安全審計,須要先在SCOM服務器上安裝「審覈收集服務」,加載SCOM安裝光盤,運行「審覈收集服務」數據庫

001111721.png


能夠建立新數據庫也可使用現有數據庫,我這裏採用默認,建立一個新數據庫安全

001113180.png


系統會自動生成和建立以下名稱數據源服務器

001116454.png


選擇事先安裝的Microsoft SQL Server,若是是遠程的,則選擇「遠程數據庫服務器」,「OperationsManagerAC」將做爲審覈收集服務的數據庫編輯器

001118673.png


選擇「Windows身份認證」ide

001120186.png


指定一個存放數據庫文件和日誌文件的目錄路徑,須要事先建立這個目錄文件性能

001123725.png


定義審覈收集天天執行數據庫維護的時間測試

001125649.png


ACS存儲時間戳格式,可採用默承認以使用UTCspa

001127398.png


點擊「下一步」,在彈出的窗口中輸入安裝SQLServer的服務器主機名稱,點擊「肯定」命令行

001130677.png


提示已完成審覈收集服務建立3d

001133833.png


此時,審覈收集服務模塊已經成功安裝,可是還需手動導入ACS報表,不然咱們依舊是什麼也看不到。瀏覽到SCOM安裝光盤X:\ReportModels目錄下,可將ACS整個文件夾暫時拷貝到SCOM服務器C盤根目錄下,具體以下圖所示:

001135804.png


此時,以管理員身份打開命令行窗口,運行如下命令:

cd\acs

UploadAuditReports 「<AuditDBServer\Instance>」「<報表服務器URL>」 「<複製的 acs文件夾路徑>」,具體以下圖所示,便可建立一個稱爲DB Audit的新數據源,上傳報表類型:Audit.smdlAudit5.smdl,並上傳acs\reports目錄中的全部報表

001138381.png


打開IE,輸入:http://SCOM2012/Reports,點擊「AuditReports

001141845.png


進入「AuditReports」後,點擊「詳細信息視圖」

001144901.png


點擊「AuditReports

001148239.png


瀏覽到「DBAudit」並點擊進入

001152759.png


此時,咱們須要勾選「Windows 集成安全性」,而後點擊「測試鏈接」,最後點擊「應用」

001156301.png


進入報表區,定位到「Audit Reports」便可查看該報表文件下有許多報表,說明已成功導入ACS報表信息

001200108.png


接下來,咱們還須要開啓代理的審覈收集功能。進入監視區,展開「代理詳細信息」文件夾,定位到「代理運行情況狀態」,選中要開啓審覈收集功能的代理,點擊右側的「啓用審覈收集」,說明,需先啓用,而後再啓動

001204935.png


輸入執行任務憑據帳戶,而後點擊「運行」

001207468.png


提示執行任務成功

001209881.png


待執行啓用審覈收集任務完成,而後點擊右側「啓動審覈收集」

001213477.png


同理輸入運行任務憑證,而後點擊「運行」

001216509.png


提示,執行「啓動審覈收集」任務成功

001219158.png


登錄到AD上,以管理員身份打開運行窗口,輸入gpedit.msc,打開本地組策略編輯器,找到以下圖「審覈策略」,更改「審覈帳戶管理」安全性設定(說明:此示例僅僅展現審覈建立和刪除帳戶,若是想進行其它測試,可進行其它相關項設定)

001222875.png


雙擊「審覈帳戶管理」,勾選「成功」和「失敗」

001225956.png


打開「AD用戶和計算機」,先建立一個用戶,我這裏建立用戶「SCOMAcs001228209.png


稍等片刻,登錄SCOM服務器,進入報表區,定位到「Audit Reports」,選中「Account_Management_-_User_Accounts_Created」,點擊右側「打開」

001232353.png


便可查看審覈用戶帳戶添加信息

001235537.png


當進行帳戶刪除後,依舊會在「Account_Management_-_User_Accounts_Deleted」報表文件中查看到審覈帳戶刪除信息

001238101.png


接下來,咱們測試審覈有關USB存儲設備插入信息。登錄AD,打開本地組策略編輯器,將「審覈對象訪問」的安全設置啓用

001241424.png


以管理員身份打開運行窗口,輸入「Regedit」,定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR文件夾

001244243.png


右擊USBSTOR文件,選擇「權限」,選中「CREATOR OWNER」,點擊「高級」,切換到「審覈」選項卡,給予該項及其子項以Everyone讀取控制的權限

002416340.png


而後咱們找個USB設備進行插拔動做,完成後,進入報表區,定位到「Audit Reports」,雙擊「Usage_-_Object_Access002420588.png


此時,即會看到有許多關於USB存儲設備訪問的信息,建議最好查看Event Id。說明:本示例只是顯示USB存儲設備插拔的次數,可是還沒有詳細顯示出是哪類USB存儲設備訪問

002424889.png


ACS轉發器:至關於ACS服務器的代理,隨着SCOM的代理安裝而安裝,用來將客戶端的審覈信息轉發給ACS收集器。

ACS收集器:用來收集ACS轉發的審覈信息,進行篩選後將數據轉發到ACS數據庫中。

SCS數據庫:用來存儲ACS信息


進入監視區,展開「收集器」文件夾了,定位到「狀態視圖」,能夠查看收集器的健康情況

002427478.png


展開「性能」文件夾,定位到「傳入事件/秒」,能夠查看審覈事件傳入SCOM服務器的情況

002431593.png


展開「轉發器」文件夾,定位到「狀態視圖」,能夠查看轉發器的健康情況002435816.png

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程