SCOM2012功能测试(27)—安全审计

时间  2020-07-15
标签 scom2012 scom 功能 测试 安全 审计 栏目 系统安全 繁體版
原文   原文链接

27.安全审计

安全审计是针对安全日志作的一套安全解决方案。要进行安全审计,须要先在SCOM服务器上安装“审核收集服务”,加载SCOM安装光盘,运行“审核收集服务”数据库

001111721.png


能够建立新数据库也可使用现有数据库,我这里采用默认,建立一个新数据库安全

001113180.png


系统会自动生成和建立以下名称数据源服务器

001116454.png


选择事先安装的Microsoft SQL Server,若是是远程的,则选择“远程数据库服务器”,“OperationsManagerAC”将做为审核收集服务的数据库编辑器

001118673.png


选择“Windows身份认证”ide

001120186.png


指定一个存放数据库文件和日志文件的目录路径,须要事先建立这个目录文件性能

001123725.png


定义审核收集天天执行数据库维护的时间测试

001125649.png


ACS存储时间戳格式,可采用默承认以使用UTCspa

001127398.png


点击“下一步”,在弹出的窗口中输入安装SQLServer的服务器主机名称,点击“肯定”命令行

001130677.png


提示已完成审核收集服务建立3d

001133833.png


此时,审核收集服务模块已经成功安装,可是还需手动导入ACS报表,不然咱们依旧是什么也看不到。浏览到SCOM安装光盘X:\ReportModels目录下,可将ACS整个文件夹暂时拷贝到SCOM服务器C盘根目录下,具体以下图所示:

001135804.png


此时,以管理员身份打开命令行窗口,运行如下命令:

cd\acs

UploadAuditReports “<AuditDBServer\Instance>”“<报表服务器URL>” “<复制的 acs文件夹路径>”,具体以下图所示,便可建立一个称为DB Audit的新数据源,上传报表类型:Audit.smdlAudit5.smdl,并上传acs\reports目录中的全部报表

001138381.png


打开IE,输入:http://SCOM2012/Reports,点击“AuditReports

001141845.png


进入“AuditReports”后,点击“详细信息视图”

001144901.png


点击“AuditReports

001148239.png


浏览到“DBAudit”並点击进入

001152759.png


此时,咱们须要勾选“Windows 集成安全性”,而后点击“测试链接”,最后点击“应用”

001156301.png


进入报表区,定位到“Audit Reports”便可查看该报表文件下有许多报表,说明已成功导入ACS报表信息

001200108.png


接下来,咱们还须要开启代理的审核收集功能。进入监视区,展开“代理详细信息”文件夹,定位到“代理运行情况状态”,选中要开启审核收集功能的代理,点击右侧的“启用审核收集”,说明,需先启用,而后再启动

001204935.png


输入执行任务凭据帐户,而后点击“运行”

001207468.png


提示执行任务成功

001209881.png


待执行启用审核收集任务完成,而后点击右侧“启动审核收集”

001213477.png


同理输入运行任务凭证,而后点击“运行”

001216509.png


提示,执行“启动审核收集”任务成功

001219158.png


登录到AD上,以管理员身份打开运行窗口,输入gpedit.msc,打开本地组策略编辑器,找到以下图“审核策略”,更改“审核帐户管理”安全性设定(说明:此示例仅仅展现审核建立和删除帐户,若是想进行其它测试,可进行其它相关项设定)

001222875.png


双击“审核帐户管理”,勾选“成功”和“失败”

001225956.png


打开“AD用户和计算机”,先建立一个用户,我这里建立用户“SCOMAcs001228209.png


稍等片刻,登录SCOM服务器,进入报表区,定位到“Audit Reports”,选中“Account_Management_-_User_Accounts_Created”,点击右侧“打开”

001232353.png


便可查看审核用户帐户添加信息

001235537.png


当进行帐户删除后,依旧会在“Account_Management_-_User_Accounts_Deleted”报表文件中查看到审核帐户删除信息

001238101.png


接下来,咱们测试审核有关USB存储设备插入信息。登录AD,打开本地组策略编辑器,将“审核对象访问”的安全设置启用

001241424.png


以管理员身份打开运行窗口,输入“Regedit”,定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR文件夹

001244243.png


右击USBSTOR文件,选择“权限”,选中“CREATOR OWNER”,点击“高级”,切换到“审核”选项卡,给予该项及其子项以Everyone读取控制的权限

002416340.png


而后咱们找个USB设备进行插拔动做,完成后,进入报表区,定位到“Audit Reports”,双击“Usage_-_Object_Access002420588.png


此时,即会看到有许多关于USB存储设备访问的信息,建议最好查看Event Id。说明:本示例只是显示USB存储设备插拔的次数,可是还没有详细显示出是哪类USB存储设备访问

002424889.png


ACS转发器:至关于ACS服务器的代理,随着SCOM的代理安装而安装,用来将客户端的审核信息转发给ACS收集器。

ACS收集器:用来收集ACS转发的审核信息,进行筛选后将数据转发到ACS数据库中。

SCS数据库:用来存储ACS信息


进入监视区,展开“收集器”文件夹了,定位到“状态视图”,能够查看收集器的健康情况

002427478.png


展开“性能”文件夹,定位到“传入事件/秒”,能够查看审核事件传入SCOM服务器的情况

002431593.png


展开“转发器”文件夹,定位到“状态视图”,能够查看转发器的健康情况002435816.png

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程