Protezione di Raccolta eventi

  • Articolo

Per Servizio di raccolta eventi è necessario utilizzare le seguenti considerazioni sulla sicurezza.

Riepilogo delle autorizzazioni per il Servizio raccolta eventi

Accertarsi che l'identità della nuova istanza di Servizio di raccolta eventi disponga delle seguenti autorizzazioni:

  • Autorizzazione per creare una sessione di Traccia eventi per Windows, registrare un provider e leggere gli eventi di una sessione di Traccia eventi per Windows.

  • Autorizzazione in lettura per la configurazione di Servizio di raccolta eventi memorizzata nel file Web.config radice.

  • Autorizzazione in lettura per i file di configurazione IIS che si trovano in <Unità>\Windows\System32\inetserv\config.

  • Autorizzazione in lettura per i file di applicazione applicabili (Web.config) per le applicazioni monitorate.

  • Autorizzazioni in lettura e scrittura per il database di monitoraggio.

  • Criterio “Accedi come servizio”

Esecuzione come utente specifico

Per isolare gli eventi di un'applicazione specifica monitorata da Windows Server AppFabric, eseguire le applicazioni che includono Windows Communication Foundation (WCF) e/o i servizi Windows Workflow Foundation (WF) come utente specifico. Accettarsi che tale utente disponga delle autorizzazioni per scrivere nella sessione di Traccia eventi per Windows monitorata da Servizio di raccolta eventi. Eseguire anche il servizio Servizio di raccolta eventi effettivo come utente specifico. È possibile utilizzare lo stesso utente dell'applicazione oppure un altro utente. La procedura seguente consente di eseguire Servizio di raccolta eventi come utente specifico:

  1. Aggiungere l'identità dell'istanza di Servizio di raccolta eventi al gruppo Windows denominato Performance Log Users. In tal modo vengono forniti gli ACL appropriati per consentire a Servizio di raccolta eventi la creazione di una sessione di Traccia eventi per Windows, la registrazione di un provider e la lettura di eventi di una sessione di Traccia eventi per Windows.

  2. L'identità Servizio di raccolta eventi richiede autorizzazioni in scrittura e lettura per l'archivio dati di monitoraggio. A tal fine, è necessario aggiungere l'identità del Servizio di raccolta eventi ai ruoli del database ASMonitoringDbReader e ASMonitoringDbWriter. È possibile aggiungere l'identità a tali ruoli di database in modo esplicito. Oppure, è possibile aggiungere l'identità Servizio di raccolta eventi al gruppo AS_Administrators di Windows creato da AppFabric.

  3. Concedere l'autorizzazione in lettura all'identità di Servizio di raccolta eventi per il file Web.config delle applicazioni monitorate. Se si aggiunge l'identità dell'istanza di Servizio di raccolta eventi al gruppo AS_Administrators di Windows, Servizio di raccolta eventi disporrà dell'accesso in lettura ai file di configurazione per le applicazioni IIS che si trovano in <Unità>\Windows\system32\inetserv\config directory.

Per un'applicazione che include Windows Communication Foundation (WCF) e/o i servizi Windows Workflow Foundation (WF) per utilizzare il monitoraggio Windows Server AppFabric, è necessario emettere eventi per la sessione di Traccia eventi per Windows da cui Servizio di raccolta eventi raccoglie gli eventi. Affinché l'applicazione disponga dell'autorizzazione a scrivere nella sessione di Traccia eventi per Windows, accertarsi che l'identità del pool di applicazioni all'interno del quale è in esecuzione l'applicazione, disponga dell'autorizzazione in scrittura per la sessione di Traccia eventi per Windows. Tale operazione può essere eseguita aggiungendo l'identità all'elenco degli utenti che dispongono dell'accesso alla sessione di Traccia eventi per Windows tramite lo strumento Monitoraggio e affidabilità Performance monitor di Windows. In alternativa, è possibile modificare le autorizzazione per l'utente in modo da scrivere nella sessione di Traccia eventi per Windows tramite l'API Win32 EventAccessControl (https://go.microsoft.com/fwlink/?LinkId=179742. Informazioni in lingua inglese).

Se l'identità del Servizio di raccolta eventi non dispone dell'autorizzazione di lettura per il file Web.config dell'applicazione che sta monitorando, verrà generato l'ID evento 130. L'evento verrà scritto nel registro eventi nel nodo Microsoft-Windows-Application Server-System Services/Admin.

È possibile assegnare l'autorizzazione di lettura all'identità di Servizio di raccolta eventi per il file Web.config di un'applicazione in uno dei modi seguenti:

  • In Esplora risorse, fare clic con il pulsante destro del mouse sul file Web.config dell'applicazione in uso, scegliere Proprietà e selezionare la scheda Sicurezza. Assegnare l'autorizzazione di scrittura all'identità utilizzata per Servizio di raccolta eventi.

    Nota

    Poiché le impostazioni di sicurezza a volte vengono memorizzate nella cache, è possibile che sia necessario del tempo affinché le autorizzazioni vengano applicate dopo aver concesso l'autorizzazione di scrittura. Inoltre, potrebbe essere necessario riavviare Servizio di raccolta eventi per far sì che possa leggere il file Web.config relativo all'applicazione con le autorizzazioni aggiornate.

  • In alternativa all'impostazione esplicita dell'autorizzazione di lettura del file Web.config, è possibile spostare l'applicazione nella cartella Web radice. Ad esempio, per i siti Web predefiniti, tale percorso sarà <unità di sistema>\inetpub\wwwroot. In fase di sviluppo, è inoltre possibile effettuare questa operazione da Visual Studio. Fare clic con il pulsante destro del mouse sul progetto e selezionare Pubblica per pubblicare il servizio Web nel server IIS locale (utilizzare Localhost) utilizzando MSDeploy.

Criterio “Accedi come servizio”

In un ambiente di dominio, le identità con cui verranno eseguiti il Servizio di raccolta eventi e il Servizio Gestione flussi di lavoro nei vari server di una Web farm devono appartenere al gruppo di amministratori di dominio di AppFabric. Poiché questo gruppo viene creato manualmente dall'amministratore di dominio, il nome del gruppo è arbitrario. Questo gruppo in genere include l'account di amministratore di dominio di AppFabric. È necessario concedere agli utenti di questo gruppo e applicare nel dominio il privilegio “Accedi come servizio”. Questo diritto consente a un'entità di sicurezza di accedere come servizio e deve essere assegnato a qualsiasi servizio che venga eseguito con un account utente separato. Per informazioni sull'aggiunta del diritto “Accedi come servizio” a un account, vedere la pagina Web all'indirizzo https://go.microsoft.com/fwlink/?LinkId=192517.

  2011-12-05