稽核線索
稽核記錄 是文字記錄檔的集合,其含有 Runbook 與外部工具和系統互動的相關資訊。 透過稽核記錄,您可以回報處理序的設定和變更合規性,也可以識別對非 Microsoft 系統所做的變更,以供稽核之用或補救導致服務中斷的變更。
依據您叫用的 Rubook 數目以及這些 Runbook 包含的活動數目而定,稽核記錄可能會在執行 Management 伺服器和 Runbook 伺服器的電腦上佔用大量的磁碟空間。 如果啟用稽核,您應該實作封存程式,定期將稽核記錄所產生的檔案移至另一部計算機。
啟用或停用稽核記錄
根據預設,當您安裝 Orchestrator 時,不會啟用稽核記錄。 您可以使用下列程式來啟動或停用它:
- 以系統管理認證開啟命令提示字元。
- 瀏覽至
C:\Program Files (x86)\Microsoft System Center\Orchestrator\Management Server。
- 瀏覽至
C:\Program Files\Microsoft System Center\Orchestrator\Management Server。
若要啟用稽核記錄,請輸入 atlc /enable。
若要停用稽核記錄,請輸入 atlc /disable。
稽核記錄檔
稽核記錄檔是以逗號分隔值 (.csv) 檔案格式來儲存。 下表顯示詳細資料:
記錄類型: Runbook Publisher
檔名:計算機名稱_ RunbookPublisher_Timestamp.csv
內容:
Runbook 啟動的日期和時間
啟動 Runbook 的使用者名稱和網域
Runbook 執行所在的計算機名稱
| 電腦 | Location |
|---|---|
| 管理伺服器 | C:\ProgramData\Microsoft System Center 2012\Orchestrator\Audit\ManagementService |
| Runbook 伺服器 | C:\ProgramData\Microsoft System Center 2012 \Orchestrator\Audit\RunbookService |
記錄類型: 啟用運行時間資訊
檔名:計算機名稱_ ObjectRuntimeInfo_Timestamp.csv
內容:
活動執行的日期和時間
執行活動的 Runbook 伺服器名稱
執行活動之作業程序的識別碼
活動以輸入數據的形式接收的物件 XML 程式代碼
| 電腦 | Location |
|---|---|
| Runbook 伺服器 | C:\ProgramData\Microsoft System Center 2012 \Orchestrator\Audit\PolicyModule |
當檔案的大小達到 200 MB 時,系統會建立新檔案。 檔案名稱含有時間戳記,如此可確保每個檔案名稱都是唯一的。 在稽核記錄檔中,密碼和其他加密的文字欄位均以五個星號 (*****) 來呈現。
注意
保存稽核檔案的 ProgramData 資料夾通常是隱藏的系統資料夾。