Comment filtrer les événements ACS pour UNIX et Linux
S'applique à: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Par défaut, ACS recueille et stocke tous les événements enregistrés dans les journaux d'événements de sécurité Windows. Un grand nombre d'événements peut rendre difficile d'identifier les problèmes potentiels. Vous souhaitez collecter les événements de sécurité qui répondent à vos exigences de conformité d'audit et de sécurité.
Meilleure pratique consiste à archiver les données à l'aide d'un archivage ACS, puis le restaurer vers un référentiel historique. À partir de ce référentiel, vous pouvez exécuter le filtrage. La procédure suivante permet de mettre à jour tous les événements d'audit et optimiser les performances de rapport de données d'audit. Par exemple, vous souhaitez peut-être stocker tous les événements d'ouverture de session réussie (540,528), mais pas de rapport sur les sauf si l'objet d'un audit.
Pour filtrer des ID d'événement à l'aide d'AdtAdmin
-
À l'invite de commandes, modifiez le répertoire de travail à %windir%\system32\security\AdtServer.
-
À la même invite de commandes, définissez les paramètres de requête en entrant AdtAdmin /setquery /query: « sélectionner * à partir de AdtsEvent où non (EventID = 560 ou EventID = 562 ou...) ", où les EventIDs répertoriés sont les événements d'audit doivent être ignorés dans le journal des événements.
Par exemple, pour définir un filtre afin que seuls les événements de sécurité UNIX et Linux sont enregistrés dans le journal des événements de sécurité Windows, définissez les paramètres de requête en entrant AdtAdmin /setquery /query: » sélectionnez * de AdtsEvent où non (EventID = 560 ou EventID = 562 ou EventID = 569 ou l'ID d'événement = 570 ou EventID = 571 ou EventID = 26401 EventID ou = 4665 ou l'ID d'événement = 4666 ou l'ID d'événement = 4667 ou l'ID d'événement = 4624 ou l'ID d'événement = 4634 ou l'ID d'événement = 4648 ou l'ID d'événement = 5156 ou l'ID d'événement = 4656 ou l'ID d'événement = 4658 ou EventID = 5159) ".
Pour plus d'informations sur l'utilisation de AdtAdmin.exe, consultez Administration des services ACS (AdtAdmin.exe).
Voir aussi
Collecte d'événements de sécurité avec les services ACS dans Operations Manager
Comment faire pour configurer des certificats pour collecteur ACS et redirecteur
Planification de la capacité des services ACS
Compteurs de performances des services ACS
Comment faire pour activer l'Audit Collection Services (ACS) des redirecteurs
Sécurité des services ACS
Sécurité des services ACS
Analyse des performances des services ACS
Comment faire pour supprimer l'Audit Collection Services (ACS)
Administration des services ACS (AdtAdmin.exe)