在上一篇文章中,我们已经为sdc01.cool.com服务器启用了审核收集,下面我们来看看如何配置ACSreporting。
部署审核收集报告时,需要使用SCOM2012安装光盘中的ACS文件。首先,我把安装光盘中的ACS文件夹拷贝到E盘下面,备用,如图。
可以看到在ACS目录下有一个uploadauditreports命令脚本,一会我们要使用该脚本。
在配置审核收集报告之前,我们先来检查一下SQL Server report的配置,确保配置正确并能正常访问现有的报告服务。
确保报表服务器的状态是正在运行的状态,如图。
确保配置了正确的服务帐户和执行帐户,如图。
查看现有Web服务的URL,确保能够正常访问,如图。
报表URL可以正常访问,如图。
同时在部署完成SCOM2012并等待半小时后,application advisor也能正常访问了,如图。
然后我们使用下图中的命令来更新审计报告,如图。
备注:
下图中scom2012是SQL的实例名称,因为我是本地SQL,所以直接输入名称,如果是远程SQL,应该使用服务器名/实例名的形式。另外https://scom2012.cool.com:443/reportserver是现有的报表WEB服务的URL地址。
下图的完整命令为:
UploadAuditReports.cmd scom2012 https://scom2012.cool.com:443/reportserver e:\acs
更新完成后,我们再次打开SQL server reporting services配置管理器,可以看到报表管理器URL为https://scom2012.cool.com:443/reports
然后访问该URL,如图。
在弹出的界面,选择audit reporter,如图。
然后来到audit reports界面了,如图。
选择上图中的DB_Audit,打开属性,如下图。
然后再选择“测试连接”,如图。确保连接测试成功。
然后,我们使用scomadmin帐户远程登陆SCOM2012的管理控制台,测试效果。
切换到监视——Microsoft审核收集服务——转发器——状态视图,确保MicrosoftsystemcenterACSForwarder工作是正常的,如图。
选择报表——报表——audit reports——planning_event_counts_by_computer选项,如图。
在下图的domain\computer输入计算机名称,并选择要查看的开始和结束日期,如图。
结果如下图所示。
还可以打开Forensic_all_events_for_specified_user,如图
在下图中输入domain\user的内容,并设置开始结束日期,可以查看到特定用户的所有事件信息,如图。
