SCCM 2007 SP2带外 (Out-of-Band) 管理

这是AMT系列中的第二篇文章，本文主要介绍了SCCM SP2中的新功能：Audit Log，以及如何使用这项功能。

1. 什么叫Audit Log？它有什么作用？

SCCM SP2引入一个新功能--------Audit Log，这项功能建立在Intel®主动管理技术(Intel® AMT) 的4.x、5.x版本上。其目的有二：它能记录重要事件的发生，也能通过跟踪破坏性行为来制止管理员的不当操作。审计人员通过审查日志，可以发现入侵行为和破坏性的操作，也能够追踪到各种问题的根本原因。

SCCM 带外管理在SP2引入了这个功能，用户可以随时方便地为计算机启用或是禁止审计功能，指定需要审计的事件。在以往，如果发生了入侵或者管理员的误操作，我们所看到的只是它导致的后果，却很难找出其根源，这也影响了我们排除问题的速度。而启用Audit Log功能后，所有指定的事件都会被记录。根据这些记录，我们能够方便的找出问题原因，以尽快排查问题。

例如，Audit log 提供了对远程控制事件的记录，任何人远程启动或关闭了该计算机，均会在Audit log中留下一条记录，标明谁，何时，做了怎样的操作。 这样如果出现未授权的远程控制情况，Admin将能容易地定位到责任人。

又如，IDE重定向是一个实用却危险的功能，如果获得IDE重定向的权力，只需要加载一个备用的操作系统，就可以对计算机硬盘上的数据进行远程攻击。但Audit Log能够记录到IDE重定向会话的开、闭。一旦发现攻击，能够根据记录及时找到问题所在。

2. 怎样启用Audit Log？
1) 选择你想要审计的事件

2) 选中将启用Audit Log的计算机，右键点击，选择启用Audit Log。如果管理员修改了选中的审计事件，也可以使用此菜单项来修改后信息更新到选中的计算机。

3. 如何查看/导出SCCM中的Audit Log

打开OOB控制台，查看Audit Log。

选中一条记录后可以看到它的详细信息（事件，发起人，扩展数据）。

也可以查看Audit Log启用/禁止状态和所占用的空间。

点击“导出”，可以将Audit Log保存成csv格式的文件，该格式文件可以用Excel打开。

4. 如何禁止Audit Log

选中目标计算机，右键点击，选择禁止Audit Log即可。可以通过启用Audit Log选项再次启用Audit Log。

5. 如何清除Audit Log

选中目标计算机 （或选中的Collection)，右键点击，选择清除日志。

对于4.0、5.0的AMT计算机，如果SCCM Audit Log已满85%，将不会再记录新的日志（AMT 5.1可以使用Rollover Audit 策略以避免这种情况），所以管理员应当及时清除日志。

——韦炜，张婧

Comments

• Anonymous
  October 17, 2009
   Wyue jeu jer sheu uijn hefu hie Deiieuj haqoddje uue jjejd Microsoft IT ConfigMgr 2007 Blog Nexus SC: The System Center Team Blog System Center Configuration Manager Team Blog If You Would Like To Receive an Email When Updates Are Made to this Post, Please Yue Jue jdei jywh jheuwe Xuiu Hde He2265/545/uue/ egdf jecds jjcsa jddeusseh Die Heu uei nie Uerjdd Ancsde AMT Career Configuration Manager OSD Out of band management Patch SQL Reporting Server System Center Task Sequence TechEd Virtual Machine Manager