;?>

Feed Rss

SCOM 2007 R2 Audit Collection Server (ACS) Episode – 2

01.06.2012, Makale, System Center Operations Manager, by , .

SCOM 2007 R2’nin Audit Collection Server özelliğine serinin ikinci makalesi ile devam ediyoruz.Serinin ilk makalesini okumanızı şiddetle öneririm.Çünkü bundan sonra yapacağımız tüm kurulum ve konfigürasyon işlemleri bu ilk makale üzerine inşa edilmektedir.Ayrıca ilk makaledeki kavramlar ve tanımlar bilinmez ise Audit Collection özelliği çok iyi anlaşılmayacaktır.Serinin ilk makalesine aşağıdaki linkten ulaşabilirsiniz.

http://www.mshowto.org/scom-2007-r2-audit-collection-server-acs-bolum-1.html

SCOM 2007 R2 Audit Collection Server ilk makalede belirttiğim üzere bir management server üzerine kurulmak zorundadır.İstenirse RMS sunucu üzerine de kurulabilir.Ancak bu çok fazla önerilen bir tasarım değildir.Özellikle çok fazla sunucuda audit özelliği aktif hale getirilecek ise sunucuya fazladan iş yükü bindirir.Bir önemli konu ise veritabanı boyutunun ve sunucusunun ayarlanmasıdır.Makalenin ilerleyen bölümünde OperationsManagerAC veritabanı oluştururken SQL Sunucuda uygun alanın nasıl belirleneceği kapasite planlamasının nasıl yapılacağı detaylandırılacaktır.

Not: Makalenin ilerleyen bölümlerinde System Center Operations Manager ;SCOM kısaltması ile Audit Collection Server ;ACS kısaltması ile adlandırılacaktır.

Artık ACS server kurulumuna başlayabiliriz. SCOM 2007 R2 DVD’sini optik sürücünüze yerleştirin.Install bölümünde yer alan “Install Audit Collection Server” yazısına tıklayınız.

Resim-1

 

ACS Collector kurulum sihirbazı karşınıza çıkacak ve sizi kurulum sonuna kadar yönlendirecektir.Açılan hoş geldiniz (Welcome to Audit Collection Services Collector Setup Wizard) ekranında “Next” tuşu ile ilerleyiniz.

 

Resim-2

 

License Agreement bölümünde “I accept the aggrement” radio butonunu işaretleyiniz ve “Next” tuşu ile ilerleyiniz.

Resim-3

 

Database Installation Options bölümünde SCOM 2007 R2’nin audit için kullanacağı bir veritabanının oluşturulması yada daha önceden var olan bir veritabanının kullanılması işlemi yapılır.Bu makalede olduğu gibi sizde ilk defa SCOM 2007 R2 ACS kullanacaksanız ilk seçenek olan “Create a new database” seçilir.Böylelikle “OperationsManagerAC” adında bir veritabanının oluşması sağlanır.Seçiminizi yaptıktan sonra “Next” tuşu ile ilerleyiniz.

Resim-4

 

Data source bölümünde oluşacak sunucu ile oluşacak bağlatı ismi girilir.OpsMgrAC bağlantı ismi açıklayacı bir isim bu sebepten dolayı bende varsayılan isimde bırakıyorum. Bu bölümde de “Next” tuşu ile ilerleyiniz.

Resim-5

 

Database bölümünde Audit Collection server’ın kullanacağı veritabanının hangi SQL sunucuya kurulacağı belirlenir.SQL server ACS sucunu ile aynı makine üzerinde çalışıyorsa “Database server running locally” seçilir.Bu makaleyi yazarken oluşturmuş olduğum yapıda SQL sucunu başka bir server üzerinde çalıştığı için “Remote database server” seçeneğini işaretliyor ve SQL Server’ın bulunduğu uzak sunucunun ismini giriyorum.Database name olarakta önerilen OperationsManagerAC ismini bırakıp “Next” tuşu ile ilerliyorum.

Resim-6

Database Authentication bölümünde veritabanı ile kurulacak kimlik doğrulama tipi belirlenir. “Windows authentication” radio butonunu seçiniz ve “Next” tuşu ilerleyiniz.

Resim-7

Database Creation Options bölümünde oluşacak olan OperationsManagerAC veritabanının saklanacağı lokasyon belirlenir.SQL Server üzerinden açılan bir veritabanı mdf ve ldf uzantılı iki adet dosyası oluşur.Bunlardan biri database dosyası bir diğeri de log dosyasıdır.İşte bu bölümde bu dosyaların nerede saklanacağını belirlemeniz gerekmektedir. Ben SQL server’ın varsayılan klasöründe saklamak istediğim için ilk seçenek ile devam edeceğim.Ancak isterseniz ikinci seçeneği işaretleyerekte farklı bir lokasyon seçebilirsiniz.

Resim-8

Event Retention Schedule bölümünde veritabanının hangi saatte bakım yapılacağını belirleyebilirsiniz.Ayrıca gerçekleşen bir olayın veritabanında kaç gün süreyle saklanacağı da belirlenir.Bu bölümde önemli olan gün sayısının ayarlanmasıdır.Çünkü çok uzun bir gün girerseniz veritabanınızda bir o kadar büyük boyutta olacaktır.

Resim-9

ACS Stored Timestamp Format bölümünde saklanan verinin formatını belirleyebilirsiniz. “Local” radio butonunu seçiniz ve “Next” tuşu ile ilerleyiniz.

Resim-10

Summary bölümünde ACS kurulum sihirbazı ile yapmış olduğunuz tüm özelleştirmeleri görebileceksiniz.Eğer bir değişiklik yapacaksanız “Back” tuşuna basarak gerekli değişikliği yapabilirsiniz.Herhangi bir değişiklik yapmayacaksanız “Next” tuşu ile ilerleyiniz.

Resim-11

Kurulum işlemi Resim-12’de görüldüğü üzere bir süre devam edecek sonrasında tamamlanacaktır.

Resim-12

SQL Server Login ekranında Windows authentication’ı seçtiğimiz için herhangi bir değişiklik yapmadan “OK” butonuna basarak kurulum işleminin bitmesini beleyiniz.

Resim-13

ACS ‘nin başarıyla kurulduğunu Resim-14’de görebilirsiniz.

Resim-14

ACS kurulumu başarıyla tamamlandığına göre artık ortamda denetim bilgilerini almak istediğimiz sunucuların Audit Policy’lerini yapılandırabiliriz.Bu bölümde önemli olan hangi sunucularda hangi denetim ayarlamalarını açacağınızdır.Bir kaç Audit Policy bu makale içersinde sizlere anlatacağım ancak makalenin içeriğini bozmasın diye tüm audit policy’lere deyinmeyeceğim.Daha fazla bilgi almak isteyenleriniz aşağıda yer alan linki okuyarak bu konu hakkında detaylı fikir ve bilgi sahibi olabilirsiniz.

http://technet.microsoft.com/en-us/library/dd277403.aspx

Audit Policyleri group policylerden rahatlıkla değiştirebilirsiniz.Ben bu makalede Default Domain Security Setting içerisinden değişiklikler yapacağım.Ancak önerdiğim yapı kesinlikle bu değil ilgili makinelerin ilgili OU’larını baz alarak yaparsanız hem kapsamınız belli olacaktır hemde gereksiz makinelerin loglarını toplamamış olacaksınızdır.

Audit Policy bölümünün sağ tarafında “Not Defined” olan policy ayarlarını şirketinizin denetim policylerine uygun bir şekilde editlemeye başlayabilirsiniz.Ben bu makale için bazı policyleri aktif hale getireceğim.

Resim-15

Audit account logon event policy üzerine çift tıklayarak hesapların logon olmalarını izleme altına alıyorum.Bu bölümde policy ayarlarına girildiğinde Success ve Failure olarak iki check box işaretleme imkanınız bulunmaktadır.Success;başarılı teşebbüsleri,Failure ise başarısız teşebbüsleri loglamanıza yarayacaktır.

Resim-16

Domain Controller’ların audit policy ayarlarını yapabilmeniz için “Default Domain Controller Security Settings” bölümünü editlemeniz gerekmektedir.Bu ayarlamaları ortamda bulunan tüm DC’lerde ayrı ayrı yapmanız gerekmektedir.

Resim-17

Aşağıdaki resimde bir DC üzerinde yapılan Audit policy değişikliklerini görebilirsiniz.

Resim-18

Yapılan değişikliklerin aktif olması için “gpupdate /force” komutunu çalıştırıyoruz.Böylelikle audit policy ayarları yaptığımız makinelerde bu ayarlar aktif olacaktır.

Resim-19

Audit Policy’leri configure ettikten sonra sıra SCOM 2007 R2 üzerinde gerekli ayarlamaları yapmaya geldi.Bunun için ilk yapılması gereken Monitoring bölümünde yer alan “Microsoft Audit Collection Services” klasörünün altında yer alan Collector sekmesidir.Collector tanımını daha önceden yapmıştık.Collector’un altında yer alan State View ‘e gelindiğinde ACS sunucunun durumu görülür.

Resim-20

Şimdi sıra audit policy bilgilerini gönderecek olan sunucuların ayarlanmasına geldi.Audit Policy’lerin aktif hale getirildiği sunucular birazdan göreceğiniz ayarlamalar yapıldıktan sonra Forwarder bölümüne gelecektir.Şu an hiç bir sistemin olmadığını görebilirsiniz.

Resim-21

Audit Collection özelliğini Enable etmek için Monitoring>Operations Manager>Agent>Agent Health State bölümüne gelinir.Agent State alanında yer alan ve audit collection’ın hizmetini aktif etmek istediğiniz makineler seçilir ve “Enable Audit Collection” yazısına tıklanır.

Resim-22

Çıkan Run Task menüsünde Task Parameters alanının altında yer alan “Override” butonuna basılır.

Resim-23

Collector Server olarak ortamda bulunan Audit Collection server’ın FQDN ‘I yazılır ve override butonuna basılır.

Resim-24

Task status’un Output ‘una bakılır ve Success yazısının var olup olmadığı görülür.

Resim-25

Enable Audit Collection ile aktif hale getirilen sunucularda artık audit bilgilerini ACS collector sunucusuna yollayacak bir servis arka planda çalışmaktadır.Ancak bildiğiniz üzere bazı servisler hemen çalışmayabilir.Bunun içinde “Start Audit Collection”yazısına tıklanır.

Resim-26

İstenirse Task Parameters bölümünde yer alan Override butonuna basılır ve Timeout Seconds ayarı değiştirilebilir.

Resim-27

Task status’un Output ‘una bakılır ve Success yazısının var olup olmadığı görülür.

Resim-28

Servislere gelindiğinde “Operations Manager Audit Forwarding Service” çalıştığı gözlemlenir.

Resim-29

Event viewer’a gelindiğinde “Operations Manager” log içerisine girildiğinde 4368 nolu EventID ‘nin oluştuğu ve log incelendiğinde de Forwarder’ın başarılı bir şekilde Collector sunucusu ile haberleştiği görülür.

Resim-30

Boş olan Forwarder bölümünde artık audit collection hizmetinin açık olduğu sunucu(lar) olduğu görülmektedir.

Resim-31

Audit Collection Server makale serisinin ikincisinde ACS sunucu kurulumunu, Audit Policyleri,Forwarder ayarlarının yapılmasını ve diğer işlemleri inceledik.

Makalenin son serisi olan üçüncü bölümde görüşmek üzere.

Ka®a

 

Mustafa Kara (1451 Posts)

Mustafa Kara, 1981 yılında Adana'da doğdu. Üniversite öncesi tüm öğrenimini Mersin'de tamamladı. Anadolu Üniversitesi mezunudur. İşletme Yüksek Lisansını (MBA) , Maltepe Üniversitesinde ve Bilgisayar Mühendisliği Yüksek Lisansını da Okan Üniversitesinde gerçekleştirmiştir. Eskişehir'de okuduğu yıllarda Anadolu Üniversitesi Bilgisayar Araştırma Uygulama Merkezi Bilgi işlem departmanında çalışma hayatına başladı. Üniversite sonrası İstanbul'da kendi iş dallarının öncü firmalarında görev aldı. Uzun yıllar boyunca BilgeAdam BTA ve Kurumsal‘da Sistem ve Network Eğitmeni, Kıdemli Danışman ve Birim Müdürü görevlerinde bulundu. Sonrasında COMPAREX Türkiye'de Teknik Müdür olarak çalışmıştır. Şu anda SimpliX Teknoloji Hizmetlerinde Bulut ve Güvenlik Çözümleri Direktörü olarak çalışmaktadır. Uzmanlık alanı olan Microsoft altyapı, yönetim ve iletişim ürünleri, Azure, M365 ve AWS bulut teknolojileri Veeam, Nakivo gibi yedekleme çözümleri ile sanallaştırma teknolojilerinde mimari düzeyde bilgi ve deneyime sahiptir. Ayrıca yeni nesil güvenlik çözümleri üzerine eğitim ve danışmanlık vermekte olup 15 yıldan daha fazla süredir birçok kişi ve firmaya binlerce saat teknik eğitim vermiştir. Kamu ve özel sektördeki kuruluşlara projeler gerçekleştirmiş ve bu projelerin bazıları Microsoft tarafında Case Study olarak duyurulmuştur. Türkiye'nin en büyük bilişim portallarında yazıları yayınlanmakta olup MSHOWTO Topluluk Lideri görevini üstlenmektedir. Üniversitelerde seminerler vermekte olup birçok teknoloji üreticisinin lansmanında uzman konuşmacı olarak yer almıştır. 2010 yılında çeşitli topluluklarda yapmış olduğu çalışmalar neticesinde Microsoft tarafından MVP ünvanına layık görülmüş olup günümüzde de bu ünvanı koruma başarısını göstermektedir. Sahip olduğu sertifikalar: MVP, MCT, AWS SA, Azure Administrator, Azure Security Engineer, Azure Solution Architect, MCITP, MCTS, MCDBA, MCSE+S+M, MCSA+S+M, MCDST, MCP, CCDA, CCNA, HP AIS, HP APS ve CompTIA A+'dır.