如何为 UNIX 和 Linux 计算机筛选 ACS 事件
适用对象:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
默认情况下,ACS 收集并存储在 Windows 安全事件日志中记录每个事件。 大量的事件可以使难以识别潜在问题。 您想要收集满足您审核和安全的法规遵从性要求的安全事件。
最佳做法是将数据存档到通过使用 ACS 存档,然后将其还原到历史记录存储库。 从该存储库,您可以运行您的筛选。 以下过程提供了保留所有审核事件和优化的审核数据报表性能的能力。 例如,您可能想要将所有成功登录事件 (540,528) 而不是报告存储在其上,除非审核。
若要使用 AdtAdmin 筛选事件 Id
-
在命令提示符下,工作目录更改为 %windir%\system32\security\AdtServer。
-
在同一个命令提示符下,通过输入设置查询参数 AdtAdmin /setquery /query:"选择 * 从 AdtsEvent 其中不 (EventID = 560 或 EventID = 562 或...)", ,其中列出 EventIDs 是要在事件日志中被忽略的审核事件。
例如,若要设置筛选器,以便仅将 UNIX 和 Linux 安全事件记录到 Windows 安全事件日志,设置查询参数通过输入 AdtAdmin /setquery /query:"选择 * 从 AdtsEvent 其中不 (EventID = 560 或 EventID = 562 或 EventID = 569 或 EventID = 570 或 EventID = 571 或 EventID = 26401 或 EventID = 4665 或 EventID = 4666 或 EventID = 4667 或 EventID = 4624 或 EventID = 4634 或 EventID = 4648 或 EventID = 5156 或 EventID = 4656 或 EventID =4658 或 EventID = 5159)"。
有关如何使用 AdtAdmin.exe 的其他信息,请参阅 审核收集服务管理 (AdtAdmin.exe)。