System Center实战之ACS审核收集服务

　　相信大多数的服务器管理员都曾经为管理系统安全日志而头痛，因为安全日志分散存储在每台计算机的本地日志中，我们经常会因为检查一些安全事件或安全审计而登录多台服务器来查看安全日志。在分散的日志中检查和分析日志显然是非常费时和困难的。因此，我们需要一款能够帮助管理安全日志的工具，以便能够让我们更好地管理和分析安全日志，确保企业中的系统安全审计工作能够有效地进行。今天我将给大家介绍一下微软Scom产品中的Audit Collection Services (ACS)功能，ACS算是微软在安全日志管理中的一个解决方案。

　　首先，需要介绍一下什么是ACS。ACS是Scom 2007新增的一项功能，它提供了安全日志的管理解决方案。通过使用ACS，管理员能够收集分散在不同机器中的安全日志并且将它们集中存储在数据库中，通过ACS报表开发，能够让管理员方便地进行安全审计工作。

　　ACS由3个组件组成：ACS Forwarder 、ACS Collector 、ACS Database 。

　　a) ACS Forwarder组件是运行了OpsMgr Audit Forwarding service 的计算机，只有Windows? 2000 SP4 or later 的系统才能够运行OpsMgr Audit Forwarding service成为ACS Forwarder。默认情况下，该服务是禁用状态，管理员需要收集审核日志时，必须先将该服务开启。

　　b)ACS中的组件ACS Collector是运行了OpsMgr Audit Collection service的服务器，OpsMgr Audit Collection service负责收集、处理和传输安全日志到ACS数据库中。每一个ACS Collector只能使用一个专用的ACS数据库。

　　c) ACS Database组件是运行了Microsoft SQL Server 2005 SP1 Enterprise or later的Windows Server 2003 SP1 or later成员服务器，数据库可以跟ACS Collector放在同一台服务器中，出于性能方面的考虑，建议使用一台专用的数据库服务器。ACS Database默认数据库名称为 OperationsManagerAC 。

　　大致了解ACS的各个组件之后，接下来介绍如何为Scom Agent启用ACS Forwarder的收集功能。

　　1. 在SCOM Console中的Monitoring窗口中定位到Operations Manager ->Agent ->Agent Health State，如下图：(图1)

　　2. 在Scom Console中间的Agent State窗口中选择需要开启ACS Forwarder功能的Agent，然后在窗口右方的Action面板中的Health Service Tasks分支中单击Enable Audit Collection。

　　3. 在弹出的Run Task - Enable Audit Collection窗口的中间Task Parameters部分选中Collection Server，选择Override，在弹出的Override Task Parameters窗口为Collection Server输入一个New Value，然后单击Override。

　　4. 在返回的Run Task - Enable Audit Collection窗口中的Task credentials部分输入合适的帐户权限之后，单击Run，结果窗口如下：(图2)

相关阅读：

　　验证ACS Forwarder的工作状态：

　　在SCOM Console窗口中定位到Monitoring -> Microsoft Audit Collection Services -> Forwarder，窗口中间部分的State View中检查Agent的状态，如果State为Healthy，说明ACS Forwarder已经开始正常工作。(图3)

ACS Troubleshooting:

　　在日常运维中，ACS可能会遇到各种各样的故障，在此，我来简单介绍一些ACS Troubleshooting相关的内容。

　　ACS Collector 排错方法：

　　排查ACS Collector安装问题：一般情况下可以通过下面几个步骤来排查ACS Collector的安装问题。

　　1. 检查安装日志，日志存放的位置为：%SystemRoot%\Temp\adtsetup.log。该日志包含着ACS Collector安装进程信息和在安装过程中产生的所有错误信息。

　　2. 检查是否已经正确安装OperationsManagerAC数据库。是否为Audit Collector Service创建了SQL的登录和写入权限，该帐户应该属于OperationsManagerAC数据库的db_DataWriter角色。

　　3. 默认情况下，安装程序不会开启Audit Collection Service，在安装结束后必须手动将该服务启动。如果能够成功开启Audit Collection Service，说明ACS服务能够正常连接到OperationsManagerAC数据库并且可以访问到数据库中的相关对象。在尝试开启Audit Collection Service之后检查Application Log和System Log，Application Log会记录一些ACS与数据库连接失败相关的日志，检查System Log中是否存在Event ID 7023事件。

　　ACS Forwarder排错方法：

　　一般情况，我们可以通过两方面来入手ACS Forwarder的排错：

　　1. Application Log: 该日志会记录着所有关于OpsMgr Audit Forwarding service成功或失败的事件，例如Forwarder无法连接到Collector的51909端口，默认情况ACS Forwarder会跟ACS Collector的51909端口进行通讯。

　　2. 为ACS Forwarder配置跟踪日志。开启跟踪日志后，会在%SystemRoot%\temp\AdtAgent.log位置创建一个跟踪文件。