Partilhar via

  • Artigo

Como filtrar eventos de ACS para UNIX e computadores Linux

 

Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Por predefinição, ACS recolhe e armazena todos os eventos registados nos registos de eventos de segurança do Windows. Um grande número de eventos pode dificultar a identificar potenciais problemas. Pretende recolher apenas os eventos de segurança que cumprem os requisitos de conformidade auditoria e segurança.

Melhor prática é arquivar os dados utilizando uma Archiver ACS e, em seguida, restaurá-lo para um repositório de histórico. A partir deste repositório, pode executar a filtragem. O procedimento seguinte fornece a capacidade de manter todos os eventos de auditoria e otimizar o desempenho de relatório de dados de auditoria. Por exemplo, pode querer armazenar todos os eventos de início de sessão com êxito (540,528), mas não relatório nos mesmos, a menos que auditada. 

Para filtrar os IDs de evento utilizando AdtAdmin

  1. Uma linha de comandos, alterar o diretório de trabalho para %windir%\system32\security\AdtServer.

  2. Na linha de comandos mesma, definir os parâmetros de consulta introduzindo AdtAdmin /setquery /query: "selecionar * de AdtsEvent onde não (IDdoevento = 560 ou IDdoevento = 562 ou...)", onde os EventIDs listados são os eventos de auditoria para ser ignorada no registo de eventos.

    Por exemplo, para definir um filtro para que apenas os eventos de segurança UNIX e Linux são registados no registo de eventos de segurança do Windows, definir os parâmetros de consulta introduzindo AdtAdmin /setquery /query: "selecionar * de AdtsEvent onde não (IDdoevento = 560 ou IDdoevento = 562 ou IDdoevento = 569 ou IDdoevento = 570 ou IDdoevento = 571 ou IDdoevento = 26401 IDdoevento ou = 4665 ou IDdoevento = 4666 ou IDdoevento = 4667 ou IDdoevento = 4624 ou IDdoevento = 4634 ou IDdoevento = 4648 ou IDdoevento = 5156 ou IDdoevento = 4656 ou IDdoevento = 4658 ou IDdoevento = 5159) ".

Para obter informações adicionais sobre como utilizar AdtAdmin.exe, consulte o artigo Administração dos Serviços de Recolha de Auditorias (AdtAdmin.exe).