Audit Collection Service

Az ilyen munkát nem szeretem, de néha elkerülhetetlen, és meg kell csinálni. A minap egy kollégám kért az Audit Collection Service szolgáltatásról egy két oldalas vezetői összefoglalót. (Ha már vannak bevezetett fogalmaink: 100-as szintű anyag 🙂 ) imageRákerestem, és meglepődve tapasztaltam, hogy magyarul lényegében nincs semmilyen info erről a System Center Operations Manager 2007 komponensről.  (Érdekes egyébként a felhozatal. Első helyen Szalontay Zoli és Fülöp Miki 2005. március 23.-i előadása jön fel. Ez az Audit Collection nem pont az az Adit Collection. Aztán jön Somogyi Csabi TechNet cikke, ahol a kliens felügyeletnél egyetlen mondatban megemlíti, ki sem fejtve, mi is az az ACS. Aztán Varánusz kolléga nem tudta mi lett a MACS-sel. Budai Peti válaszul hivatkozott Kelemen Laci ACS cikkére (az egyetlen részletes anyagra) amit viszont a kereső egyáltalán nem talált meg. Végezetül még ez a webnapló állt elő, mint forrás. Egy alkalommal megemlítettem az Audit Collection adatbázis igényét, még a SCOM nem is végleges változatának kipróbálása idején.

Nem volt mit tennem, készítettem egy két oldalas, kifejezetten vezetőknek szánt, enyhén marketingszagú anyagot. (Az "enyhén" eufemizmus: nagyon marketingszagú). Először nem gondoltam közzétenni, de mivel a célja éppen az, hogy hozzáértők egy előterjesztésben betehessenek két oldalnyi értelmes szöveget a témáról hozzá nem értők számára, gondolom nem bánjátok, ha megosztom. Van, aki hasznát veheti. Kíváncsi vagyok, hogy pár nap múlva mit hoznak a keresők. 🙂

Biztonsági események gyűjtése
(Audit Collection Service)

Bevezető

Napjaink informatikai rendszereinek egyik legnagyobb kihívása a biztonsági problémák kezelése. Szemben más IT feladatokkal, a biztonság kérdése nem oldható meg egyetlen termék megvásárlásával, vagy egyszeri intézkedésekkel. Az informatikai biztonság az általánosan elfogadott megközelítés szerint a kockázatok kezelése méghozzá az IT megoldások (termékek), az IT folyamatok és a szakemberek hatékony összehangolásával.

A biztonsági események gyűjtésének problémái

A biztonsági folyamatok egyik kiemelten fontos eleme az Informatikai rendszerek üzemeltetése során keletkezett biztonsági események (bejelentkezések, biztonsági csoporttagság változások, adott felhasználói jogok érvényesítése stb.) elosztott naplózása, majd e naplóállományok központi adattárba juttatása a lehető leggyorsabb és legbiztonságosabb módon. A szokásos eseménygyűjtő technikák a biztonsági események gyűjtésére alkalmatlanok, mert a két feladat nagyságrendileg eltérő. A hagyományos eseménybejegyzések egy kivételes állapot létrejöttekor keletkeznek, ezzel szemben a biztonsági események folyamatosan ismétlődnek. A „hétköznapi események” többnyire önmagukban állnak, miközben egymással összefüggő biztonsági események akár több rendszerben, elszórtan keletkezhetnek. Végül a normál eseményeket többnyire elegendő néhány hónapig tárolni, míg a biztonsági események archiválását törvényi előírások szabályozhatják, és akár több évig is meg kell őrizni őket.

Az Audit Collection Service

image A Microsoft a System Center Operations Manager 2007 rendszerfelügyeleti megoldásába integrálta a biztonsági események hatékony gyűjtésének funkcióját Audit Collection Service (ACS) néven. Az Audit Collection Service felügyelete alatt végfelhasználói munkaállomásokról és felügyelt Windows kiszolgálókról lehet közel valós időben óriási mennyiségű biztonsági eseményt begyűjteni, azokat adatbázisban tárolni, illetve igény szerint lekérdezni. Az ACS-t úgy tervezték, hogy lépést tartson a biztonsági események számának ugrásszerű növekedésével, észlelje az események megváltoztatására, törlésére irányuló kísérleteket. A System Center Operations Manager szerepkör elválasztási képességét kihasználva az ACS teljes egészében különállóan – a biztonsági osztály, vagy külső auditorok által – felügyelhető. Az események archiválását a Microsoft SQL Server adattárház képességei segítik.

Az Audit Collection Service bevezetésének előnyei

Az Audit Collection Service bevezetése egyaránt hordoz technológiai és üzleti előnyöket.

Technológiai előnyök:

·       Az események gyűjtése közel valósidejű. A felügyelt rendszer az eseményeket a keletkezésük pillanatában elkapja és a helyi naplóban való rögzítéssel egyidejűleg továbbítja az ACS gyűjtők felé.

·       Skálázhatóság. Egy ACS rendszer 150 tartományvezérlő, vagy 3000 kiszolgáló vagy 20 000 munkaállomás eseményeit képes begyűjteni. Egy esemény mérete a lehető legkisebb (70 bájt), hogy a naplózás ne terhelje a hálózatot.

·       Biztonságos adattovábbítás. A felügyelt rendszerek kizárólag biztonságos csatornán kommunikálnak a gyűjtő szerverekkel. A gyűjtő kiesése esetén másik kiszolgálóra terelhetők a felügyelt kliensek.

·       Manipulációk felfedezése. Az ACS beépített jelentéseket tartalmaz a biztonsági események manipulálási kísérletek felfedezésére.

·       A SCOM architektúrával való együttélés. Az Audit Collection Services nem igényel külön kliens telepítést, de a SCOM rendszerben az adminisztráció szükség szerint teljesen elkülöníthető. Az ACS jelentések bármikor módosíthatók és újakkal bővíthetők akár saját fejlesztés révén, akár harmadik gyártó megoldásaival.

·       Hatékony tárolás. A nagyon nagy mennyiségű esemény tárolása rendkívül hatékony, mivel a kevés eseménytípust sematizálva tárolja a rendszer.

Üzleti előnyök:

·        Törvényi előírásoknak való megfelelés. A biztonsági események gyűjtését és tárolását külső szabályozó szervek előírhatják. Ezen előírások betartását az ACS magas műszaki színvonalon (skálázhatóság, integritás-védelem stb.) segíti.

·        Felhasználói tevékenység nyomon követése. A begyűjtött eseményekből készített jelentések alapján meghatározható, hogy egy adott felhasználó adott időben milyen tevékenységeket végezett egy vagy több rendszeren.

·        Biztonsági házirendek betartásának ellenőrzése. A biztonsági csoporttagságok változásának figyelésével hozzáférés-szabályozás valósítható meg.

·        Az Auditor és az Adminisztrátor/Operátor szerepkörök elválasztása. A System Center Operations Manager 2007 szerepkör elválasztásai képességei az Audit Collection Service komponensekre is kiterjed. Az auditor szerepkör elválasztása lehetővé teszi, hogy a szándékos károkozó üzemeltetőket fel lehessen fedezni.

·        Behatolási kísérletek felfedezése. A több rendszerből összegyűjtött biztonsági események összevetésével behatolási kísérleteket lehet felfedezni.

Advertisements

SCOM 2007 adatbázisok méretezése

Egy alapos cikk a System Center Operations Manager 2007 adatbázisainak méretezéséhez.  Adatbázisainak? Igen, mert három adatbázis is tartozik a SCOM 2007-hez: az operatiív adatbázis, az adattárház és az audit események adatbázisa. Aki méretezni szeretne egy ilyen rendszert, ez a cikk jó kiindulópont

Quote

Estimating Database Sizes for OpsMgr 2007

  • OpsDB 
  • Data Warehouse DB
  • ACS DB

Update:

Jó lenne egy Excel táblázat a méretezés elvégzéséhez? Ez is elkészült már, Ian Blyth munkája. Letölthető innen: http://systemcenterforum.org/wp-content/uploads/SCOM2007DBestimatorv1.xls

A System Center Operation Manager kliens felügyeleti lehetőségei

A TechNet napon alig érintettük a témát, ezért érdemes pár mondatot szentelni rá. A System Center Operation Manager 2007 az első olyan termék, amelyet kifejezetten úgy terveztek, hogy a desktopok felügyeletét is képes legyen elvégezni. A megoldás három alapszituáció kiszolgálására készült.

1. Agentless Exception Monitoring (AEM)

A desktop gépekre nem kerül fel Operation Manager ügynök, viszont a gépeket úgy konfiguráljuk, hogy az alkalmazások összeomlásáról automatikusan elkészülő műszaki adatokat az Operation Manager megkapja. Az adatokat opcionálisan tovább lehet küldeni a Microsoft felé. A beküldött adatokból statisztikai jelentéseket lehet készíteni. A beépített jelentések segítségével meg lehet becsülni az összeomlások költségét (költség rendelhető egy adott összeomláshoz), az összeomlások trendje elemezhető, továbbá gépenként láthatjuk a hibák és összeomlások számát. Az AEM nem igényel Operation Manager Client CAL-t.

(Ismerős lehet a funkció, korábban úgy hívták, hogy Corporate Error Reporting, és azon Microsoft felhasználók juthattak hozzá, akik frissítési garanciával vásárolták meg az MS licenceket)

2. Collective Health Monitoring (CHM)

Ebben a szituációban a desktop gépekre Operation Manager 2007 ügynök kerül, de a gépek csak összegző jellegű információkat küldenek, illetve csak a legkritikusabb hibákat jelzik. Az Operation Manager – ahogy az a szituáció nevéből látható – a desktopok kollektív egészségét vizsgálja, nem cél egy egyes gépeket kezelni. Az ilyen üzemmódhoz tartozó jelentések is összegző jellegűek. A gépcsoportokra vonatkozó jelentések a dektopokkal kapcsolatos szolgáltatási szint szerződések megkötésekor és ellenőrzésekor használhatók. A CHM használatba vételéhez Operation Manager 2007 Client CAL szükséges.

3. Business Critical Desktop Monitoring (BCDM)

Ebben a szituációban a klienseket úgy kezeljük, mintha szerverek lennének, tehát minden – rájuk jellemző – információt gyűjtünk, elemzünk és értékelünk. A gépekre Operation Manager 2007 ügynök kerül, és annak központi beállításától függ, hogy CHM vagy BCDM „üzemmódban” működik-e. A BCDM szituációt elsősorban ATM-ek, ügyfélszolgálati gépek, gyártósori vezérlőgépek esetén célszerű alkalmazni, vagyis olyankor, amikor a desktop rendelkezésre állása és teljesítménye közvetlen hatást gyakorol az üzleti folyamatra. A BCDM használatba vételéhez Operation Manager 2007 Client CAL szükséges.

A második és harmadik szituációt az Operation Manager 2007 két, beépített Management Pack segítségével támogatja. Ezek a „Windows Management Pack” és a „Information Worker Management Pack”. Az első Windows 2000/XP/Vista, a második Internet Explorer 5, 6, 7, Office 2000, XP, 2003, 2007-hez használható. A legfontosabb képességeik az alábbiak. (Nem teljes lista!)

Windows Management Pack:

  1. Szervíz rendelkezésre állás figyelése
  2. Szervíz hibák észlelése
  3. Tárolórendszer rendelkezésre állás figyelése (csak Vista)
  4. Tárolórendszer kapacitás problémák (csak Vista)
  5. Alrendszer teljesítmény problémák észlelése
  6. Shell teljesítmény (csak Vista)
  7. Lemez- és memória meghibásodások (csak Vista)
  8. Aggregált riportok (Desktop Memory Report, Desktop Disk Heath Report, Desktop Performance stb.)
  9. Vista Specifikus riportok (Memória probléma jelentés, Diszkhasználat, indítási/leállítási idő stb.)

Information Worker Management Pack

  1. Internet Explorer site rendelkezésre állás
  2. Outlook Mail rendelkezésre állás
  3. Files Server és file rendelkezésre állás
  4. Adatforrás (adatbázis) rendelkezésre állás