SCOM2012功能測試(27)—安全審計

原創 Ray_Leil 2018-09-11 09:19

27.安全審計

安全審計是針對安全日誌做的一套安全解決方案。要進行安全審計,需要先在SCOM服務器上安裝“審覈收集服務”,加載SCOM安裝光盤,運行“審覈收集服務”

001111721.png


可以創建新數據庫也可以使用現有數據庫,我這裏採用默認,創建一個新數據庫

001113180.png


系統會自動生成和創建如下名稱數據源

001116454.png


選擇事先安裝的Microsoft SQL Server,如果是遠程的,則選擇“遠程數據庫服務器”,“OperationsManagerAC”將作爲審覈收集服務的數據庫

001118673.png


選擇“Windows身份認證”

001120186.png


指定一個存放數據庫文件和日誌文件的目錄路徑,需要事先創建這個目錄文件

001123725.png


定義審覈收集每天執行數據庫維護的時間

001125649.png


ACS存儲時間戳格式,可採用默認可以使用UTC

001127398.png


點擊“下一步”,在彈出的窗口中輸入安裝SQLServer的服務器主機名稱,點擊“確定”

001130677.png


提示已完成審覈收集服務創建

001133833.png


此時,審覈收集服務模塊已經成功安裝,但是還需手動導入ACS報表,否則我們依舊是什麼也看不到。瀏覽到SCOM安裝光盤X:\ReportModels目錄下,可將ACS整個文件夾暫時拷貝到SCOM服務器C盤根目錄下,具體如下圖所示:

001135804.png


此時,以管理員身份打開命令行窗口,運行以下命令:

cd\acs

UploadAuditReports “<AuditDBServer\Instance>”“<報表服務器URL>” “<複製的 acs文件夾路徑>”,具體如下圖所示,即可創建一個稱爲DB Audit的新數據源,上傳報表類型:Audit.smdlAudit5.smdl,並上傳acs\reports目錄中的所有報表

001138381.png


打開IE,輸入:http://SCOM2012/Reports,點擊“AuditReports

001141845.png


進入“AuditReports”後,點擊“詳細信息視圖”

001144901.png


點擊“AuditReports

001148239.png


瀏覽到“DBAudit”並點擊進入

001152759.png


此時,我們需要勾選“Windows 集成安全性”,然後點擊“測試連接”,最後點擊“應用”

001156301.png


進入報表區,定位到“Audit Reports”即可查看該報表文件下有許多報表,說明已成功導入ACS報表信息

001200108.png


接下來,我們還需要開啓代理的審覈收集功能。進入監視區,展開“代理詳細信息”文件夾,定位到“代理運行狀況狀態”,選中要開啓審覈收集功能的代理,點擊右側的“啓用審覈收集”,說明,需先啓用,然後再啓動

001204935.png


輸入執行任務憑據賬戶,然後點擊“運行”

001207468.png


提示執行任務成功

001209881.png


待執行啓用審覈收集任務完成,然後點擊右側“啓動審覈收集”

001213477.png


同理輸入運行任務憑證,然後點擊“運行”

001216509.png


提示,執行“啓動審覈收集”任務成功

001219158.png


登陸到AD上,以管理員身份打開運行窗口,輸入gpedit.msc,打開本地組策略編輯器,找到如下圖“審覈策略”,更改“審覈賬戶管理”安全性設定(說明:此示例僅僅展示審覈創建和刪除賬戶,如果想進行其它測試,可進行其它相關項設定)

001222875.png


雙擊“審覈賬戶管理”,勾選“成功”和“失敗”

001225956.png


打開“AD用戶和計算機”,先創建一個用戶,我這裏創建用戶“SCOMAcs001228209.png


稍等片刻,登陸SCOM服務器,進入報表區,定位到“Audit Reports”,選中“Account_Management_-_User_Accounts_Created”,點擊右側“打開”

001232353.png


即可查看審覈用戶賬戶添加信息

001235537.png


當進行賬戶刪除後,依舊會在“Account_Management_-_User_Accounts_Deleted”報表文件中查看到審覈賬戶刪除信息

001238101.png


接下來,我們測試審覈有關USB存儲設備插入信息。登陸AD,打開本地組策略編輯器,將“審覈對象訪問”的安全設置啓用

001241424.png


以管理員身份打開運行窗口,輸入“Regedit”,定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR文件夾

001244243.png


右擊USBSTOR文件,選擇“權限”,選中“CREATOR OWNER”,點擊“高級”,切換到“審覈”選項卡,給予該項及其子項以Everyone讀取控制的權限

002416340.png


然後我們找個USB設備進行插拔動作,完成後,進入報表區,定位到“Audit Reports”,雙擊“Usage_-_Object_Access002420588.png


此時,即會看到有許多關於USB存儲設備訪問的信息,建議最好查看Event Id。說明:本示例只是顯示USB存儲設備插拔的次數,但是尚未詳細顯示出是哪類USB存儲設備訪問

002424889.png


ACS轉發器:相當於ACS服務器的代理,隨着SCOM的代理安裝而安裝,用來將客戶端的審覈信息轉發給ACS收集器。

ACS收集器:用來收集ACS轉發的審覈信息,進行篩選後將數據轉發到ACS數據庫中。

SCS數據庫:用來存儲ACS信息


進入監視區,展開“收集器”文件夾了,定位到“狀態視圖”,可以查看收集器的健康狀況

002427478.png


展開“性能”文件夾,定位到“傳入事件/秒”,可以查看審覈事件傳入SCOM服務器的狀況

002431593.png


展開“轉發器”文件夾,定位到“狀態視圖”,可以查看轉發器的健康狀況002435816.png


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

程序員到底要不要轉行軟件測試?

高級架構師 2019-02-22 23:59:37

10年手工測試的迷茫,值得每個人深思

小強測試 2019-02-22 20:40:59

改造功能測試用例時的一點思考

樂老師 2018-12-12 13:05:03

軟件測試,性能測試,功能測試,自動化測試環境搭建

ele19640416 2018-12-09 13:30:09

星海之源自我介紹

xhzy 2019-02-22 21:51:18

Websense Web Security Suite v6.3(美國)

xhzy 2019-02-22 21:50:59

任子行互聯網管理軟件V4.0

xhzy 2019-02-22 21:50:59

尚思卓越運維風險管理系統

我叫兔爺 2019-01-25 12:54:42

星海之源自我介紹

xhzy 2018-09-13 02:22:04

SCOM2012 SP1——安裝前提條件

shuhui_941125 2019-02-22 20:25:24

the service threw an unknown exception in SCOM 2012

zyliday 2019-02-22 21:48:13

Windows 2008 及System Center 相關資料整理

struggle1=1 2019-02-22 21:30:14

SCOM的管理包以及指定監控服務IIS網頁服務

miraclewill 2019-02-22 18:06:28

微軟私有云2012軟件發佈

向左還是右 2019-02-22 16:04:52

System Center 2012R2之SCOM監控SQL DB服務器系統

jonethon6273 2019-02-22 13:53:42