В Operations Manager 2007 службы сбора данных аудита (службы ACS) предоставляют средства для сбора записей, формируемых политикой аудита, и сохраняют их в централизованной базе данных. По умолчанию, при реализации политики аудита на компьютере Microsoft Windows этот компьютер автоматически сохраняет в своем локальном журнале безопасности данные всех событий, вызванных политикой аудита. Это действительно для рабочих станций и для серверов Windows. В организациях со строгими требованиями к безопасности политики аудита могут быстро формировать большие объемы событий.

Используя службы ACS, организации могут объединить отдельные журналы безопасности в базу данных с централизованным управлением, а также отбирать и анализировать события с помощью средств анализа данных и создания отчетов, предоставляемых сервером Microsoft SQL Server. При использовании служб ACS выполнять запросы и создавать отчеты с собранными данными может только тот пользователь, которому специально было предоставлено право доступа к базе данных ACS.

В Operations Manager 2007 при развертывании служб ACS используются перечисленные ниже компоненты.

Серверы пересылки ACS

Служба, выполняемая на серверах пересылки ACS, включается в агент Operations Manager. При установке агента Operations Manager эта служба по умолчанию устанавливается, но не включается. Эту службу можно включить сразу на нескольких компьютерах агентов, используя задачу "Включить сбор данных аудита". После включения этой службы данные всех событий безопасности отправляются не только в локальный журнал безопасности, но и на сборщик ACS.

Сборщик ACS

Сборщик ACS принимает и обрабатывает данные событий от серверов пересылки ACS и затем отправляет эти данные в базу данных ACS. Эта обработка предусматривает разборку данных, что позволяет распределять их по нескольким таблицам в базе данных ACS, чтобы снизить процент дублирования данных, а также применять фильтры, чтобы ненужные события не добавлялись в базу данных ACS.

Количество серверов пересылки ACS, поддерживаемых одним сборщиком ACS и базой данных ACS, может варьироваться в зависимости от числа событий, формируемых используемой политикой аудита, от роли компьютеров, наблюдаемых серверами пересылки ACS (например, контроллер домена или рядовой сервер), от уровня загрузки компьютера и от оборудования, на котором работают сборщик ACS и база данных ACS. Если данная среда содержит слишком много серверов пересылки ACS для одного сборщика ACS, можно установить несколько сборщиков ACS. У каждого сборщика ACS должна быть собственная база данных ACS.

Сборщик ACS должен устанавливаться на компьютеры с операционной системой Windows Server 2003 и более поздней версии. На компьютере должно быть установлено не менее 1 гигабайт (ГБ) ОЗУ, рекомендуется 2 ГБ. Кроме того, он должен иметь процессор не менее 1,8 ГГц (рекомендуется 2,8 ГГц) и свободное место на жестком диске не менее 10 ГБ (рекомендуется 50 ГБ). Компьютер, выбранный на роль сборщика ACS, должен быть сервером управления Operations Manager 2007, а также членом домена Active Directory (из соображений безопасности).

На каждый компьютер, на котором планируется установить сборщик ACS, следует загрузить с веб-узла корпорации Майкрософт и установить последнюю версию компонентов Windows DAC. Дополнительные сведения о компонентах Windows DAC см. в описании компонентов Windows DAC по адресу http://go.microsoft.com/fwlink/?LinkId=74155.

База данных ACS

База данных ACS – это центральный репозиторий для данных событий, формируемых политикой аудита в рамках развертывания служб ACS. База данных ACS может размещаться на одном компьютере со сборщиком ACS, но ради повышения производительности каждый из этих компонентов следует устанавливать на отдельном сервере.

На сервере, где размещается база данных ACS, должна быть установлена СУБД Microsoft SQL Server 2005 или SQL Server 2008. Можно выбрать существующий или новый экземпляр SQL Server. Из-за высокой нагрузки, вызванной ежедневным обслуживанием базы данных ACS, рекомендуется выпуск SQL Server Enterprise Edition.

Если используется SQL Server Standard Edition, базе данных придется делать паузы на время ежедневных операций обслуживания. Это может вызвать заполнение очереди сборщика ACS запросами от серверов пересылки ACS. А заполнение очереди сборщика ACS вызывает отключение серверов пересылки ACS от сборщика ACS. После обслуживания базы данных отключенные серверы пересылки ACS снова подключаются, после чего незавершенная обработка очереди возобновляется. Во избежание потери данных событий аудита выделите достаточное пространство жесткого диска для локального журнала безопасности на всех серверах пересылки ACS.

SQL Server Enterprise Edition способен продолжать обработку запросов от серверов пересылки ACS даже во время операций ежедневного обслуживания, хотя и с пониженной производительностью. Дополнительные сведения об очереди сборщика ACS и об отключении серверов пересылки ACS см. в разделах Планирование производительности службы ACS и Наблюдение за производительностью служб ACS.

У компьютера базы данных ACS должно быть не менее 1 ГБ оперативной памяти (рекомендуется 2 ГБ). Кроме того, он должен иметь процессор не менее 1,8 ГГц (рекомендуется 2,8 ГГц) и свободное место на жестком диске не менее 20 ГБ (рекомендуется 100 ГБ). Если у сервера SQL Server более 2 ГБ памяти, потребуется определенная дополнительная настройка. Дополнительные сведения об операциях такой настройки см. в инструкциях по настройке SQL Server для использования физической памяти объемом более 2 ГБ по адресу http://go.microsoft.com/fwlink/?LinkId=74153.

See Also


Была ли данная информация полезной? Отправляйте нам свои пожелания и комментарии, касающиеся данной документации.