使用 Operations Manager 中的审核收集服务收集安全事件

Operations Manager 代理中包括 ACS 转发器上运行的服务。 默认情况下，安装 Operations Manager 代理时会安装此服务，但不启用此服务。 你可以使用“启用审核收集”任务同时为多台代理计算机启用此服务。 启用此服务之后，所有安全事件除被发送到本地安全日志之外，还会被发送到 ACS 收集器。

ACS 收集器接收并处理来自 ACS 转发器的事件，并将此数据发送至 ACS 数据库。 此处理包括反汇编数据，以便其能跨越 ACS 数据库内的多个表格，从而最小化数据冗余；包括应用筛选器，以便不将不必要的事件添加到 ACS 数据库中。

单个 ACS 收集器和 ACS 数据库可支持的 ACS 转发器数可能不同，具体取决于以下因素：

• 审核策略生成的事件数。

• ACS 转发器监视的计算机的角色（例如，域控制器与成员服务器）。

• 计算机上的活动级别。

• ACS 收集器和 ACS 数据库运行的硬件。

如果你的环境中单个 ACS 收集器包含的 ACS 转发器太多，则可以安装多个 ACS 收集器。 每个 ACS 收集器必须有其自身的 ACS 数据库。

ACS 收集器的要求如下所示：

• Operations Manager 管理服务器

• Active Directory 域的成员

• 最低 1 GB RAM（推荐 2 GB）

• 至少为 1.8 GHz 的处理器（推荐 2.8 GHz 处理器）

• 硬盘可用空间至少为 10 GB（推荐 50 GB）

在计划安装 ACS 收集器的每台计算机上，你必须从 Microsoft 网站下载和安装最新版本的 Microsoft 数据访问组件 (MDAC)。 要了解有关 MDAC 的更多信息，请参阅 Learning Microsoft Data Access Components (MDAC)（了解 Microsoft 数据访问组件 (MDAC)）。

ACS 数据库是 ACS 部署内审核策略生成的事件的中心库。 可以在 ACS 收集器所在的计算机上找到 ACS 数据库，但是为了获得最佳性能，每个 ACS 数据库应该安装在专用的服务器上。

ACS 数据库的要求如下所示：

• 对于 System Center 2012 – Operations Manager：SQL Server 2005 或 SQL Server 2008。 你可以选择 SQL Server 的现有安装或新安装。 建议使用 SQL Server 企业版，因为重点是进行每日 ACS 数据库维护。

• 对于 System Center 2012 Service Pack 1 (SP1) - Operations Manager：SQL Server SQL 2008 R2 SP1、SQL Server 2008 R2 SP2、SQL Server 2012 或 SQL Server 2012 SP1。 建议使用 SQL Server 企业版，因为重点是进行每日 ACS 数据库维护。

• 最低 1 GB RAM（推荐 2 GB）

  注意
  如果你正在使用 SQL Server 2008 R2 或更早版本，且服务器内存超过 2 GB，则需要一些附加的配置步骤。 有关详细信息和必需步骤，请参阅 How to configure SQL Server to use more than 2 GB of physical memory（如何配置 SQL Server 以使用 2 GB 以上的物理内存）。 有关安装和运行 SQL Server 2012 的最低硬件和软件要求的列表，请参阅安装 SQL Server 2012 的硬件和软件要求。

• 至少为 1.8 GHz 的处理器（推荐 2.8 GHz 处理器）

• 硬盘可用空间至少为 20 GB（推荐 100 GB）

如果使用的是 SQL Server Standard Edition，日常维护期间必须暂停数据库。 这可能导致 ACS 收集器队列填满来自 ACS 转发器的请求。 如果 ACS 收集器队列已满，则可能导致 ACS 转发器断开与 ACS 收集器的连接。 数据库维护完成后，断开的 ACS 转发器会重新连接，然后排队会被处理。 为确保无任何审核事件丢失，请为所有 ACS 转发器上的本地安全日志分配足够的硬盘空间。

日常维护操作期间，SQL Server Enterprise Edition 可以继续向 ACS 转发器请求提供服务，但是性能会降低。 有关 ACS 收集器队列和 ACS 转发器断开连接的详细信息，请参阅审核收集服务容量规划和监视审核收集服务性能。

System Center 2012 Service Pack 1 (SP1) - Operations Manager 为 Windows Server 2012 启用的动态访问控制提供 ACS 支持。

Windows Server 2012 使业务数据所有者能够轻松地对数据进行分类和标记，并允许访问为对业务至关重要的数据类定义的策略。 Windows Server 2012 中的相容性管理变得更加有效和灵活，因为访问和审核策略可能不仅基于用户和组信息，还基于更大的一组用户、资源和环境声明以及 Active Directory 中的属性和其他来源。 在定义访问和审核策略过程中可以使用诸如角色之类的用户声明、项目、组织、诸如机密之类的资源属性以及诸如运行状况之类的设备声明。

Windows Server 2012 增强了现有的 Windows ACL 模型以支持动态访问控制，客户可以在动态访问控制中使用用户和计算机声明以及资源（例如文件）属性定义基于表达式且包括条件的授权访问策略。 下图具有说明性，并不实际表示表达式：

• 在 User.Clearance >= Resource.Secrecy and Device 的情况下允许读写访问。 Healthy

• 在 User.Project any_of Resource.Project 的情况下允许读写访问

System Center 2012 Service Pack 1 (SP1) 通过执行以下操作来帮助实施这些方案：在企业范围内深入了解动态访问控制的使用情况、利用 Operations Manager 的审核收集服务从相关计算机（文件服务器和域控制器）中收集事件，以及提供报告以允许审核员和合规部主管报告动态访问控制的使用情况 – 例如，对策略、对象访问（成功和失败）以及应用某个策略情况下所发生情况的“假定方案”评估的更改进行审核。

动态访问控制的配置

客户不需要对处理动态访问控制信息的 ACS 进行配置。 只需要通过一组报表来与此功能进行交互。 不需要额外进行监视。

与 Windows 计算机相比，在 UNIX 和 Linux 计算机上执行 ACS 的方式有一些差异。 它们是：

• 必须导入针对 UNIX 和 Linux 操作系统的 ACS 管理包。

• 根据 UNIX 和 Linux 计算机上的审核策略生成的事件将转到正在监视 UNIX 或 Linux 计算机的 Windows管理服务器的 Windows 安全事件日志，然后收集到集中数据库中。

  在管理服务器上，写操作模块会分析每个管理的 UNIX 和 Linux 计算机中的审核数据，并将信息写入到 Windows 安全事件日志。 数据源模块与部署在管理的 UNIX 和 Linux 计算机上的代理进行通信，以进行日志文件监视。

• 代理（针对 UNIX/Linux 的 Operations Manager 代理）驻留在正接受管理的每台 UNIX 或 Linux 计算机上。

• 为了支持 UNIX 和 Linux 计算机发送的审核数据的其他内容和格式，已经对 ACS 收集器方案进行了扩展。

• 审核收集服务安全性

• 审核收集服务容量规划

• 审核收集服务性能计数器

• 如何启用审核收集服务 (ACS) 转发器

• 如何启用事件日志记录和 ACS Solaris 和 AIX 计算机上的规则

• 如何为 UNIX 和 Linux 计算机筛选 ACS 事件

• 如何配置 ACS 收集器和转发器的证明

• 监视审核收集服务性能

• 如何删除审核收集服务 (ACS)

• 审核收集服务管理 (AdtAdmin.exe)

• Operations Manager 的 TechNet 库主页

• System Center 2012 - Operations Manager 操作指南

• 安装 Operations Manager 之后的初始监视

• 在 Operations Manager 中管理访问

• 从 Operations Manager 中获取信息

• Operations Manager 中的常规任务

• Operations Manager 的维护

• Operations Manager 报表创作指南

• Accessing UNIX and Linux Computers in Operations Manager（在 Operations Manager 中访问 UNIX 和 Linux 计算机）

• 管理发现和代理