Entendendo Operations Manager 2012 Audit Collection Services (ACS)
Visão Geral
Audit Collector Services* é um serviço do Operations Manager configurado para aceitar logs de seguranças que são encaminhados pelos agentes e salvars em uma base de dados. Este serviço não é instalado por padrão no servidor, mas seu agente é instalados junto com o agente do Operations Manager nos servidores mas são desabilitado. Após configurado e habilitado nos servidores todos os logs da guia Segurança serão encaminhados para o ACS Collector e registrados na base de dados.
Após habilitar o agente do ACS o serviço Operations Manager Audit Forwarding Service deve ser iniciado e configurado para iniciar automaticamente nos servidores.
Com os logs de segurança do ambiente temos a possibilidade de criar relatórios dos logs utilizando o SQL Server Reportiong Services. No console do Operatiosn Manager é habilitado alguns relatórios por padrão para facilitar.
A imagem abaixo mostra as conexões e portas utilizadas pelos componentes do Audit Collection Service
http://4.bp.blogspot.com/-ccfcokosqCc/T5TCYdLXLpI/AAAAAAAADdQ/jbgPaG0RWRY/s640/acs.jpg
ACS Forwarders
O Audit Collection Services Forwarder é um componente do agente do Operations Management 2012, este serviço é o responsável por enviar os logs do servidor para o ACS Collector. Por padrão o agente é instalado em todos os servidores que possuem os agentes do Operations Manager mas o serviço fica desabilitado. Para inciar o serviço e a coleta dos logs utilize o Management Console do Operatiosn Manager. O serviço utiliza a porta 51909/TCP para conexão com o servidor.
ACS Collector
O Audit Collection Services Collector é responsável por receber os logs encaminhados do ACS Forwarder e salvá-los no ACS Database, neste processo o servidor desmembra os logs e aplica filtros para minimizar a utilização de espaço na base e facilitar os relatórios.
O ACS Collector autentica toda a comunicação do ACS Forwarder utilizando Windows Authetication após a autenticação to o tráfego entre o Forwarder e o Collector é criptografado
ACS Database
O Audit Collection Services Database é o repositório de todos os logs de eventos capturados pelos Forwarders. O mesmo servidor que hospeda a base de dados do Operations Manager pode ser utilizado para hospedar a base do Audit Collection.
Os servidores de base suportados para o ACS Database são:
- Microsoft SQL Server 2005
- SQL Server 2008
O SQL Server pode ser instalado no mesmo servidor do ACS Collector e Management Server mas é recomendado utilizar a base em outro servidor por questão de performance.
O Audit Collection utiliza o SQL Server Reporting Services para gerar os relatórios dos logs, certifique-se que foi instalado no servidor SQL Server e que não é utilizado por nenhuma outra solução, durante a instalação do ACS o Reporting Service é configurado para hospedar os relatórios e isso pode afetar a disponibilidade de outros relatórios que ja estejam implementados.
Por padrão a comunicação entre o Collector a a base de dados não é criptografada, se necessário é suportado utilizar SSL ou TLS para criptografar a comunicação do servidor com a base de dados.
ACS no Linux
O Audit Collection é suportado nos seguintes sistemas Linux
- AIX 5.3 (Power), 6.1 (Power)
- HP-UX 11iv2 (PA-RISC and IA64), e 11iv3 (PA-RISC and IA64)
- Red Hat Enterprise Server 4 (x64 and x86) e 5 (x64 e x86)
- Solaris 8 (SPARC), 9 (SPARC), e 10 (SPARC e versão x86)
- SUSE Linux Enterprise Server 9 (x86), 10.1 (x86 e x64) e 11
A diferença é que o agente do Linux não encaminha os los diretamente para o ACS Collector, em vez disso os logs são enviados para o log de eventos do Windows no Management Server e do log do Windows eles são encaminhados para a base de dados.
O Management Pack Cross Platform Audit Control Services deve ser importado para habilitar o Audit Collection no Linux
Administração AdtAdmin.exe
O AdtAdmin é uma ferramenta de linha de comando que permite gerenciar o ACS Collector e ACS Forwarders. Com a ferramenta é possível criar filtros WMI para limitar ou expandir a coleta dos logs.
A sintax da ferramenta é a seguinte:
*
AdtAdmin.exe /<Parametro> [/<Subparametro>:<Valor>]
*
Audit Reports
O Audit Collection Services utiliza o seguinte fluxo de conexão para gerar os relatórios de auditoria. Todos os componentes utilizados podem ser instalados no mesmo servidos.
http://2.bp.blogspot.com/-Fe9j5ZfWNIA/T5YUn_RowkI/AAAAAAAADdc/KxXmM9lauxs/s640/reporting.jpg
O SQL Server Reporting Services é utilizado pelo Operations Manager para gerar relatórios e queries contra a ACS Database. *
Abaixo temos a imagem da pasta do Audit Reports no Management Console. Para visualizar a guia Reporting no Management Console é preciso instalar o Operations Reporting Server *caso contrario os relatórios so poderam ser gerados no portal web do Reporting Services
http://2.bp.blogspot.com/-q0t2L2u9qaI/T5da4YyOOVI/AAAAAAAADdk/xPtTETVlHYg/s400/rep01.png
Na tabela esta a lista de todos os relatórios disponíveis e suas descrições:
Nome do Relatótio |
Descrição dos Resultados |
| Access_Violation_-_Account_Locked | Este relatório mostra todos os logs de bloqueio de contas. No Windows 2003 e 2000 os eventos 539 e 634, no Windows 2008 os eventos 4740 e 6279 indicam bloqueios de contas |
| Access_Violation_-[\k_Unsuccessful_Logon_Attempts | Este relatório mostra tentativas de logons sem sucesso, em quais maquinas a tentativa de logon falhou e o número de vezes que ocorreu a falha. No Windows 2003 e 2000 são os eventos 529, 537 e 539, no Windows 2008 é o relatório do evento 4625. |
| Account_Management_-_Domain_and_Built-in_Administrators_Changes | Este relatório mostra as alterações na lista de membros dos grupos administrativos do domínio. É registrado o nome do grupo, a ação, quem realizou a tarefa, o nome do usuário que foi adicionado ou removido do grupo, a data e em qual controlador de domínio a mudança foi feita. É aplicado o filtro para os evento 632, 633, 636, 637 nos grupos do Active Directory e um filtro de evento ID 512 relacionado ao grupo Domain Admins |
| Account_Management_-_Passwords_Change_Attempts_by_Non-owner | Este relatório mostra as alterações nas senhas de domínio realizadas por usuários administradores, mostra a data e hora em que a alteração de senha ocorreu e qual administrador alterou a senha do usuário. O relatório não mostra as mudanças de senhas feitas pelo próprio usuário. No Windows 2003 e 2000 os eventos 627 e 628 e no Windows 2008 os eventos 4723 e 4724 indicam alterações nas senhas dos usuários |
| Account_Management_-_User_Accounts_Created | Este relatório mostra as contas de usuários criadas em um dato período. No Windows 2003 e 2000 os eventos 624 e no Windows 2008 o evento 4720 registra a criação de contas de usuários |
| Account_Management_-_User_Accounts_Deleted | Este relatório mostra todas as contas de usuários deletados. No windows 2003 e 2000 e 2008 o evento 630 e no Windows 2008 os eventos 4726 registram usuários deletados. É registrado a data, a conta, quem realizou a ação e o servidor que a ação foi tomada |
| Audit_Report_Template | Este é um template que pode ser usado para criar novos relatórios |
| Audit5_Report_Template | Este é um template que pode ser usado para criar novos relatórios |
| Forensic_-_All_Events_For_Specified_Computer | Este relatório mostra todos os eventos coletados de um determinado servidor. É registrado o nome das maquinas, a data, e o id dos eventos |
| Forensic_-_All_Events_For_Specified_User | Este relatório mostra todos os eventos referentes a um determinado usuário. É registrado a maquina onde o evento ocorre e o período em que o evento ocorre. |
| Forensic_-_All_Events_With_Specified_Event_ID | Este relatório mostra todos os eventos relacionados a um especifico ID. |
| Planning_-_Event_Counts | Mostra a estatística de todos os logs coletados |
| Planning_-_Event_Counts_by_Computer | Este relatório mostra as estatísticas dos logs coletados de um servidor específico. É coletado o ID do evento, a contagem dos logs e a porcentagem total dos logs |
| Planning_-_Hourly_Event_Distribution | Este relatório mostra a distribuição dos eventos por horário |
| Planning_-_Logon_Counts_of_Privileged_Users | Este relatório mostra a quantidade de logon dos usuários privilegiados. É registrado o usuário, o domínio e a quantidade de logons dos usuários privilégiados. |
| Policy_-_Account_Policy_Changed | Este relatório mostra os eventos criados pela alteração das políticas de contas No Windows 2000 e 2003 o evento 643 e no Windows 2008 o evento 4739 registra alterações na política das contas |
| Policy_-_Audit_Policy_Changed | Este relatório mostra alterações das políticas de auditorias. No Windows 2000 e 2003 o evento 612 e no Windows 2008 o evento 4719 registra alterações na política de auditorias |
| Policy_-_Object_Permissions_Changed | Este relatório mostra todas as alterações das permissões dos objetos No Windows 2008 o evento 4670 registra alterações nas permissões dos objetos |
| Policy_-_Privilege_Added_Or_Removed | Este relatório mostra as alterações de privilégios que os usuários sofreram. É registrado a data, o nome do computador, o domínio, a conta de usuário que foi afetada, quem realizou a alteração e o privilégio concedido ou removido para o usuário. O Windows 2003 e 2000 os eventos auditados 608 e 621 e no Windows 2008 o evento 4704 registra que privilégios foram concedidos ao usuário. O Windows 2003 e 2000 os eventos auditados 609 e 622 e no Windows 2008 o evento 4705 registra que privilégios foram removidos do usuário |
| System_Integrity_-_Audit_Failure | Este relatório mostra os sistemas onde não foi possível gerar logs de auditoria devido a falta de recursos. É registrado a maquina e a data em que a falha ocorreu. O Windows 2003 e 2000 o evento auditados 516 e no Windows 2008 o evento 4612 registra o erro no sistema de log devido à falta de recurso. |
| System_Integrity_-_Audit_Log_Cleared | Este relatório registra a limpeza dos logs de segurança nos servidores auditados. É registrado o nome do computador, quem realizou a ação e a data em que os logs de segurança foram limpos O Windows 2003 e 2000 o evento auditados 517 e no Windows 2008 o evento 1102 registra a limpeza dos logs nos servidores |
| Usage_-_Object_Access | Este relatório mostra todos os acessos à objetos auditados. É registrado o nome do computador, o tipo de objeto (arquivo ou chave de registro), o ID do evento, o caminho do objeto, a data, o usuário, o processo e o tipo de acesso realizado. O Windows 2003 e 2000 o evento auditados 560 e no Windows 2008 o evento 4656 registra o acesso e abertura do objeto. O Windows 2003 e 2000 o evento auditados 567 e no Windows 2008 o evento 4663 registra a tentativa de acesso ao objeto. |
| Usage_-_Privileged_logon | Este relatório mostra todos as atividades de logon com privilégios administrativo. É registrado a data, a maquina, o usuário que foi auditado e o privilégio deste usuário É utilizado o filtro no evento ID 576 para todos os sistemas operacioanais. |
| Usage_-_Sensitive_Security_Groups_Changes | Este relatório mostra as alterações realizadas nos grupos de segurança. É registrado o tipo do grupo, a ação realizada, o nome do grupo, qual usuário realizou a ação, quem foi adicionado como membro do grupo e a data da alteração |
| Usage_-_User_Logon | Este relatório mostra todas as atividades de logon para um usuário específico. É registrado a data, a maquina e o ip, o pacote de autorização e o tipo do logon. É utilizado o filtro no evento ID 540 e 528 para todos os sistemas operacioanais. |
Artigos Relacionados
Instalação do Operations Manager 2012 RC Audit Collection Services (ACS) (pt-BR)
Este artigo foi originalmente escrito por:
Fernando Lugão Veltem
**blog: **http://flugaoveltem.blogspot.com
**twitter: **@flugaoveltem