SCOM2012功能测试(27)―安全审计

27.安全审计

安全审计是针对安全日志做的一套安全解决方案。要进行安全审计,需要先在SCOM服务器上安装“审核收集服务”,加载SCOM安装光盘,运行“审核收集服务”

001111721.png


可以创建新数据库也可以使用现有数据库,我这里采用默认,创建一个新数据库

001113180.png


系统会自动生成和创建如下名称数据源

001116454.png


选择事先安装的Microsoft SQL Server,如果是远程的,则选择“远程数据库服务器”,“OperationsManagerAC”将作为审核收集服务的数据库

001118673.png


选择“Windows身份认证”

001120186.png


指定一个存放数据库文件和日志文件的目录路径,需要事先创建这个目录文件

001123725.png


定义审核收集每天执行数据库维护的时间

001125649.png


ACS存储时间戳格式,可采用默认可以使用UTC

001127398.png


点击“下一步”,在弹出的窗口中输入安装SQLServer的服务器主机名称,点击“确定”

001130677.png


提示已完成审核收集服务创建

001133833.png


此时,审核收集服务模块已经成功安装,但是还需手动导入ACS报表,否则我们依旧是什么也看不到。浏览到SCOM安装光盘X:\ReportModels目录下,可将ACS整个文件夹暂时拷贝到SCOM服务器C盘根目录下,具体如下图所示:

001135804.png


此时,以管理员身份打开命令行窗口,运行以下命令:

cd\acs

UploadAuditReports “<AuditDBServer\Instance>”“<报表服务器URL>” “<复制的 acs文件夹路径>”,具体如下图所示,即可创建一个称为DB Audit的新数据源,上传报表类型:Audit.smdlAudit5.smdl,并上传acs\reports目录中的所有报表

001138381.png


打开IE,输入:http://SCOM2012/Reports,点击“AuditReports

001141845.png


进入“AuditReports”后,点击“详细信息视图”

001144901.png


点击“AuditReports

001148239.png


浏览到“DBAudit”�K点击进入

001152759.png


此时,我们需要勾选“Windows 集成安全性”,然后点击“测试连接”,最后点击“应用”

001156301.png


进入报表区,定位到“Audit Reports”即可查看该报表文件下有许多报表,说明已成功导入ACS报表信息

001200108.png


接下来,我们还需要开启代理的审核收集功能。进入监视区,展开“代理详细信息”文件夹,定位到“代理运行状况状态”,选中要开启审核收集功能的代理,点击右侧的“启用审核收集”,说明,需先启用,然后再启动

001204935.png


输入执行任务凭据账户,然后点击“运行”

001207468.png


提示执行任务成功

001209881.png


待执行启用审核收集任务完成,然后点击右侧“启动审核收集”

001213477.png


同理输入运行任务凭证,然后点击“运行”

001216509.png


提示,执行“启动审核收集”任务成功

001219158.png


登陆到AD上,以管理员身份打开运行窗口,输入gpedit.msc,打开本地组策略编辑器,找到如下图“审核策略”,更改“审核账户管理”安全性设定(说明:此示例仅仅展示审核创建和删除账户,如果想进行其它测试,可进行其它相关项设定)

001222875.png


双击“审核账户管理”,勾选“成功”和“失败”

001225956.png


打开“AD用户和计算机”,先创建一个用户,我这里创建用户“SCOMAcs001228209.png


稍等片刻,登陆SCOM服务器,进入报表区,定位到“Audit Reports”,选中“Account_Management_-_User_Accounts_Created”,点击右侧“打开”

001232353.png


即可查看审核用户账户添加信息

001235537.png


当进行账户删除后,依旧会在“Account_Management_-_User_Accounts_Deleted”报表文件中查看到审核账户删除信息

001238101.png


接下来,我们测试审核有关USB存储设备插入信息。登陆AD,打开本地组策略编辑器,将“审核对象访问”的安全设置启用

001241424.png


以管理员身份打开运行窗口,输入“Regedit”,定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR文件夹

001244243.png


右击USBSTOR文件,选择“权限”,选中“CREATOR OWNER”,点击“高级”,切换到“审核”选项卡,给予该项及其子项以Everyone读取控制的权限

002416340.png


然后我们找个USB设备进行插拔动作,完成后,进入报表区,定位到“Audit Reports”,双击“Usage_-_Object_Access002420588.png


此时,即会看到有许多关于USB存储设备访问的信息,建议最好查看Event Id。说明:本示例只是显示USB存储设备插拔的次数,但是尚未详细显示出是哪类USB存储设备访问

002424889.png


ACS转发器:相当于ACS服务器的代理,随着SCOM的代理安装而安装,用来将客户端的审核信息转发给ACS收集器。

ACS收集器:用来收集ACS转发的审核信息,进行筛选后将数据转发到ACS数据库中。

SCS数据库:用来存储ACS信息


进入监视区,展开“收集器”文件夹了,定位到“状态视图”,可以查看收集器的健康状况

002427478.png


展开“性能”文件夹,定位到“传入事件/秒”,可以查看审核事件传入SCOM服务器的状况

002431593.png


展开“转发器”文件夹,定位到“状态视图”,可以查看转发器的健康状况002435816.png


你可能感兴趣的:(功能测试,安全审计,SCOM2012)