Operations Manager - SCOM

L'actualité des outils de supervision made in Microsoft

OpsMgr 2007 (RTM) : L’Activation du rôle ACS Forwarder sur vos serveurs d’administration, c’est possible ! - Tutorial

Petit rappel sur cette nouveauté d'Operations Manager 2007 : L'Audit Collection Services (ACS),

Cette fonctionnalité a pour objectif de collecter les informations issues des journaux de sécurité des ordinateurs managés de votre choix, le tout dans une base de donnée dédiée et indépendante des données d'Operations.

Cette solution est composée des quatres éléments suivants :

  • Serveur collecteur - ACS Collector Server : Ce service installé sur un serveur d'administration collecte, filtre et prétraite en temps réel et de manière sécurisé (chiffré) les évènements de sécurité (stocké dans le journal de sécurité) de tous les agents dont la fonction ACS est activée (appelé forwarder). Le stockage est effectué dans une DB indépendante. Ce mécanisme  de filtrage vous permet de spécifier quel événement vous souhaitez insérer dans la DB et pour combien de temps.
  • ACS Forwarder : Service installé en même temps que l'agent sur les ordinateurs managés. Se service nommé Audit Forwarder Service et désactivé par défaut. Activable via une tâche de la console Opérateur. Il envoie les événements de sécurité au collecteur ACS.
  • Base de données Audit : Cette base hautement optimisée permet de centraliser les événements de sécurité insérée par le collecteur ACS.  Il existe une relation « one to one » entre ces derniers, en effet un collecteur ne peut communiquer qu'avec une seule base d'audit et vice versa ! Durée de rétention de 14jours par défaut.
  • ACS Reporting permet de générer des rapports. Il fait un trie des donnés contenues dans la database.

Revenons en au sujet car dans la version RTM démuni du SP1 (RC) l'activation de l'ACS Forwarder sur les serveurs racine d'administration (RMS) et serveurs d'administration (MS) est non supporté officiellement par Microsoft donc non activable ! D'ailleurs le service Audit Forwarder Service n'est pas installé sur ces derniers :

Pour passez outre cette limitation, deux solutions s'offrent à vous,

  1. Appliquer le Service Pack 1 (RC) d'Operations Manager 2007, en effet ce dernier support officiellement ce cas.
  2. La méthode manuelle de Jeff :)

Pas à pas d'activation du rôle ACS forwarder sur un serveur d'administration (MS ou RMS) :

  1. Copy adtagent.exe to C:\windows\system32
  2. Run command adtagent -install
  3. Edit HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AdtAgent\Parameters
    1. Ensure/Add DWORD key EventlogLoggingLevel is set to 2
    2. Add DWORD key LocalConfig and set to 2
    3. Add DWORD key NoCache and set to 2
    4. Add Multi-String Value key AdtServers and enter name of the collector to forward to.
  4. In Services CP, set Operations Manager Audit Forwarding Service to Automatic and start.
  5. Verify by running SELECT * FROM dbo.dtMachine on the OperationsManagerAC database and finding the management server name. Could also run SELECT * FROM dbo.dtMachine WHERE Description = 'DOMAINNAMEHERE\MACHINENAMEHERE$'

Merci à Jeff Skelton qui a posté le fruit de ces recherches sur le sujet !

Posted: janv. 08 2008, 06:48 by nmilbrand | with no comments |
Filed under: , , , , , , ,