Audit Policyleri group policylerden rahatlıkla değiştirebilirsiniz. Ben bu makalede Default Domain Security Setting içerisinden değişiklikler yapacağım. Ancak önerdiğim yapı kesinlikle bu değil ilgili makinelerin ilgili OU’larını baz alarak yaparsanız hem kapsamınız belli olacaktır hemde gereksiz makinelerin loglarını toplamamış olacaksınızdır.
Audit Policy bölümünün sağ tarafında “Not Defined” olan policy ayarlarını şirketinizin denetim policylerine uygun bir şekilde editlemeye başlayabilirsiniz. Ben bu makale için bazı policyleri aktif hale getireceğim.
Resim-1
Audit account logon event policy üzerine çift tıklayarak hesapların logon olmalarını izleme altına alıyorum. Bu bölümde policy ayarlarına girildiğinde Success ve Failure olarak iki check box işaretleme imkanınız bulunmaktadır. Success; başarılı teşebbüsleri, Failure ise başarısız teşebbüsleri loglamanıza yarayacaktır.
Resim-2
Domain Controller’ların audit policy ayarlarını yapabilmeniz için “Default Domain Controller Security Settings” bölümünü editlemeniz gerekmektedir. Bu ayarlamaları ortamda bulunan tüm DC’lerde ayrı ayrı yapmanız gerekmektedir.
Resim-3
Aşağıdaki resimde bir DC üzerinde yapılan Audit policy değişikliklerini görebilirsiniz.
Resim-4
Yapılan değişikliklerin aktif olması için “gpupdate /force” komutunu çalıştırıyoruz. Böylelikle audit policy ayarları yaptığımız makinelerde bu ayarlar aktif olacaktır.
Resim-5
Audit Policy’leri configure ettikten sonra sıra SCOM 2007 R2 üzerinde gerekli ayarlamaları yapmaya geldi. Bunun için ilk yapılması gereken Monitoring bölümünde yer alan “Microsoft Audit Collection Services” klasörünün altında yer alan Collector sekmesidir. Collector tanımını daha önceden yapmıştık. Collector’un altında yer alan State View ‘e gelindiğinde ACS sunucunun durumu görülür.
Resim-6
Şimdi sıra audit policy bilgilerini gönderecek olan sunucuların ayarlanmasına geldi. Audit Policy’lerin aktif hale getirildiği sunucular birazdan göreceğiniz ayarlamalar yapıldıktan sonra Forwarder bölümüne gelecektir. Şu an hiç bir sistemin olmadığını görebilirsiniz.
Resim-7
Audit Collection özelliğini Enable etmek için Monitoring > Operations Manager > Agent > Agent Health State bölümüne gelinir. Agent State alanında yer alan ve audit collection’ın hizmetini aktif etmek istediğiniz makineler seçilir ve “Enable Audit Collection” yazısına tıklanır.
Resim-8
Çıkan Run Task menüsünde Task Parameters alanının altında yer alan “Override” butonuna basılır.
Resim-9
Collector Server olarak ortamda bulunan Audit Collection Server’ın FQDN ‘I yazılır ve override butonuna basılır.
Resim-10
Task status’un Output ‘una bakılır ve Success yazısının var olup olmadığı görülür.
Resim-11
Enable Audit Collection ile aktif hale getirilen sunucularda artık audit bilgilerini ACS collector sunucusuna yollayacak bir servis arka planda çalışmaktadır. Ancak bildiğiniz üzere bazı servisler hemen çalışmayabilir. Bunun içinde “Start Audit Collection”yazısına tıklanır.
Resim-12
İstenirse Task Parameters bölümünde yer alan Override butonuna basılır ve Timeout Seconds ayarı değiştirilebilir.
Resim-13
Task status’un Output ‘una bakılır ve Success yazısının var olup olmadığı görülür.
Resim-14
Servislere gelindiğinde “Operations Manager Audit Forwarding Service” çalıştığı gözlemlenir.
Resim-15
Event viewer’a gelindiğinde “Operations Manager” log içerisine girildiğinde 4368 nolu EventID ‘nin oluştuğu ve log incelendiğinde de Forwarder’ın başarılı bir şekilde Collector sunucusu ile haberleştiği görülür.
Resim-15
Boş olan Forwarder bölümünde artık audit collection hizmetinin açık olduğu sunucu(lar) olduğu görülmektedir.
Resim-16
Audit Collection Server makale serisinin ikincisinde ACS sunucu kurulumunu, Audit Policyleri, Forwarder ayarlarının yapılmasını ve diğer işlemleri inceledik.
Bu konuyla ilgili sorularınızı linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz
Referanslar
Yorumlar (2)