Windows 2008 R2 Cluster bir ortamda SQL 2008 Cluster kullanarak System Center Operations Manager 2007 R2 cluster kurulumu ve yapılandırılması - Bölüm 10

Bölüm 10 ( Audit Collection Services ve kurulumu )

Audit Collection Services 'e Genel bir Bakış

  • Audit Collection Services (ACS) Administrator 'lara sadece bir bilgisayar için değil tüm IT environmentları için geçerli ve tarihsel security durumunu anlamalarını sağlar
  • OpsMgr Agent yüklü olup OpsMgr Audit Forwarding service vasıtasıyla manage edilen sistemler üzerindeki Security event data encrypted 'dır ve Management Server 'a iletilir.
  • Bu data networkte bir ihlal kalkışması saptandığında ve IT ortamının hukuksal olarak analizinde kullanılması gibi amaçlarla real-time monitoring için kullanılabilir
  • Bir saldırı kalkışmasını gerçek zamanlı monitor ile alert üretecek bir şekile getirmek , organizasyonunuzun security planı gecikmeden gerçekleştirilmiş olur ve IT ortamınız korunmuş olur.,
  • Event Data storage , bir Security Auditor'a organizasyonun IT ortamının security sini değerlendirmesini ve onu geliştirmek için öneriler sunmasını sağlar
  • ACS tarafından kullanılan servisler ve data standart OpsMgr database'inden ve Servislerinden ayrıdır.

Audit Collection Services (ACS) 'in tanıtımı

Security Log yönetimi zor olabilecek bir gerekli görevdir. Çünkü sunucular ve yönetimsel workstation lar için audit eventları her bir bilgisayarın localinde depolanır ve bu her bir sistemdeki veriyi analiz etmek aşırı derecede zaman alıcı bir durumdur

Bazı event log konsolidasyon araçları olmasına rağmen , onların odak noktası Security Log yönetimi üzerine değildir ve bu araçlar güçlü arama teknikleri sağlamazlar. Bu durumdan dolayı ilgili audit event larını bulmak zorlu olabilir.

Audit Collection Services (ACS) Security Log yönetiminin bu problemine çözüm sağlar. ACS kullanarak , Administrator'ler dağıtılmış security loglarını toplayıp onları merkezi bir lokasyonda tutabilirler.Bir Audit event'ı merkezi havuz ' a ( central repository ) geldiğinde , bileşenlerine ayrılırlar ve indekslenirler.

İlave olarak , ACS en sık sorgulanan alanları indeksler ve onları Master tablolara linkler. Bu da eventları depolamak için ihtiyaç duyulan disk alanını azaltır ve bu değerler üzerindeki sorguları hızlandırır.

ACS Mimarisi

ACS üç bileşenden oluşur. Bu bileşenler aşağıdaki tablodaki gibidir.

Tablo 1 ACS Bileşenleri

Bileşen

Açıklama

ACS Forwarder

· ACS Forwarder , OpsMgr Audit Forwarding Servisinin üzerinde çalıştığı Microsoft® Windows® 2000 SP4 ya da daha sonraki versiyon bir işletim sistemine sahip bir bilgisayardır.

· Bu servis Administrator 'ların audit eventlarını toplamak istedikleri her bir bilgisayar üzerinde etkin hale getirilmelidir.

· Bu service'in çalıştırılabilir dosya lokasyonu C:\WINNT\system32\AdtAgent.exe dir.

· Bu servis için kayıt defteri (registry ) lokasyonu HKLM\System\CurrentControlSet\Services\AdtAgent dır

· Bu servisin sistem üzerinde olması için o sistem üzerinde OpsMgr agent'ının kurulu olması gerekmektedir

ACS Collector

· ACS Collector , OpsMgr Audit Collection service 'inin üzerinde çalıştığı ve audit eventlarını toplayan , işleyen ve database'e transfer eden bilgisayardır.

· Bir çok IT ortamında , bir tane ACS collector en az 1000 forwarder'a hizmet edebilir

· Bu service'in çalıştırılabilir dosya lokasyonu %SystemRoot%\security\AdtServer\AdtServer.exe dir ve OpsMgr Audit Collection olarak adlandırılmıştır

· Bu servis için kayıt defteri (registry ) lokasyonu HKLM\System\CurrentControlSet\Services\AdtServer dır

· Her bir ACS collector kendi database'ine ihtiyaç duyar.

· Bir Management Group da kaç tane collector kurulabileceğine dair bir limitleme yoktur.

ACS Database

· ACS Database Windows Server 2003 SP1 ya da daha sonraki versiyon bir işletim sistemi üzerinde olmalıdır.

· SQL Server versiyonu Microsoft SQL Server 2005 SP1 Enterprise yada daha sonraki versiyon bir SQL sürümü olmalıdır.

· Database ACS Collector ile aynı bilgisayar üzerinde bulunabilir, fakat en iyi performans açısından her biri adanmış bir server üzerinde olmalıdır.

· Database 'in default ismi OperationsManagerAC 'dir

 

ACS kurulumu bir Management Server üzerine kurulmalıdır. örnek yapımda RMS’i cluster yaptığım ve ayrıca Management Server kurarak monitoring işlemini o Management Server üzerinden yapacağım için ACS kurulumunuda bu Management Server üzerine uygulayacağım. RMS üzerinde herhangi bir agent Monitor etmemek ve ayrıca MS ‘lar kurmak performans açısından önerilen bir durumdur.

Daha önce RMS kurulumunda olduğu gibi OpsMgr için kullandığımız accountlar bu sistem üzerinde Local Admin grubuna alınmalı ve Kurulum için requirementlar geçilmelidir.

Daha sonrasında ise SCOM consol dan Agent’ların Primary Management Server’ı bu server olacak şekilde değişiklik yapalım.

ACS için kullanacağımız bu server’ı Primary Management Server olarak ayarlayacağımız gibi ilave Management Server kurulumu yaparak sadece ACS görevi gören ve herhangi bir Agent ‘ı monitör etmeyen bir yapıda performans açısından uygulayabilirsiniz.

Ben örneğimde bu işlemi Primary Management Server’ı ve ACS ‘i aynı sisteme alıp RMS ‘in herhangi bir agent’ı monitor etmemesini sağlayacağım.

Bu işlem için SCOM console dan agentları seçip üzerlerinde sağ klik yaparak Change Primary Management Server’ı tıklayalım

agent pms change06

Sonrasında ilave kurulan Management Server’ı  Primary Management Server olarak seçip OK ‘e tıklayalım

agent pms change08

Bu işlem sonrası artık agentlar için Primary Management Server’ın  değiştiğini gözlemleyeceksiniz.

 agent pms change31

Şimdi ACS kurulumuna geçebiliriz. Kurulum dosyasını çalıştırdıktan sonra Database Installation Options ekranında Create a new Database seçelim

acs 136

DataSource’u olduğu gibi OpsMgrAC olarak bırakalım.

Database’i daha önce hazırladığım sqlcluster\scom instance ‘ına göre yapılandıralım ve oluşturulacak database ismini OperationsManagerAC1 olarak verelim. Eğer tek bir collector kullanacak iseniz sonuna 1 eklemeyiniz veya başka bir isimde kullanabilirsiniz.

Ben örneğimde daha sonra 2.collector kurulumunu da uygulayacağım için burada bu şekilde bir isimlendirme uyguluyorum.

acs 157

Database Authentication ‘ı Windows Authentication olarak uygulayın.

Database’in ve Transaction dosyalarının olacağı lokasyonu belirtiniz.

acs 1251

Event Retention Policy ‘i kaç günlük veriyi ACS DB ‘de tutacak iseniz o şekilde ayarlayınız.Ben örneğimde 30 gün olarak ayarladım

Timestamp formatı örneğimde Local olarak uyguladım.

Bu aşamadan sonra kuruluma geçilecektir.

acs 1281

Eğer kurulum aşağıdaki gibi başarısız olursa bu durumda ,

acs 1285

Kurulumu tekrar çalıştırarak Update the ACS collector configuration seçeneğini seçip

Create  a new database ile ilerleyip , devam ediniz

acs 1310

Sonrasında ACS kurulumu başarılı olacaktır.

acs 1373

BU sistem üzerinde eğer Windows Firewall etkin ise TCP 51909 numaralı Port’u açınız. Artık ACS kurulumumuz tamamlanmıştır.

Orkun AKSU