System Center Operation Manager uygulamamız ile bir çok şeyi monitör edebiliyoruz. Bir çok firma ya da kurumda SCOM ürünü ile BT altyapılarını uçtan uca monitor edebilmek için SCOM ürününü kullanmakta. Bizler bu makalemizde Active Directory üzerinde kullanıcıların şifreleri lock olduğu durumlarının takibini ve nerede bu kullanıcının şifresinin hangi bilgisayar üzerinde lock olduğunu monitor edeceğiz. Bunun için bilmemiz gereken en önemli bilgilerden biri Kullanıcı şifresi lock olduğunda oluşacak Event ID. Çünkü bizler kullanıcı şifresi lock olduğunda oluşan Event Id monitor edeceğiz.
Microsoft Event Viewer altında oluşan Security Event
Kategorisi : User
Account Manager
Event ID : 4740
Olarak oluştuğunu yukarıdaki resimde görüyoruz.
Peki oluşan Event Id bilgilerinide öğrendiğimize göre artık
SCOM uygulamamız üzerinde gerekli adımlara başlayalım.
Kural oluşturmak için öncelikle Authoring başlığı altında Management
Pack Object altında Rules
üzerinde sağ klik yapılır ve Create a
new rule... seçimini gerçekleştiriyoruz.
Gelen ekranda Collection
Rules – Event Based – NT Event Log seçimini yapıyoruz ve hangi management
packi kullanacak ise o management packi seçerek Next ile ilerliyoruz.
Rule Name kısmına tanımlayıcı bir rule adı giriyoruz. Rule
Target kısmında ise hangi sunucu gurubunda takip edecek ise o computer grubunu
hedef olarak gösteriyoruz.Aslında buradaki Rule Target kısmı
önemlidir.İsterseniz custom bir grup oluşturup hedef olarak o grubu
gösterebilirsiniz.
Bizi karşılayan bu ekranımızda ise Log Name olarak security
grubunu seçiyoruz.Çünküilk baştada belirttiğimiz gibi User Account Control bir
security logudur.
Bu ekranımızda ise filtreleme yapacağımız ekranımız.
İsterseniz yukarıdaki resimdede görüldüğü gibi Add seçimi yaparak daha fazla
filtreleme alanları koyabilirsiniz.Ben burada oluşacak olan Event Id numarasını
4740 olarak tanımladım.Çünkü Kullanıcı şifresini kilitlediğinde Event Viewer
altında oluşacak olan Event Id 4740 olarak düşecektir. Create seçimini yaparak
artık Rule tanımını bitiriyorum.
Görüldüğü gibi son adımdan sonra Rules altında benim
isimlendirdiğim ve oluşturduğum User Account Control isimli Rule oluşmuş
durumda ve hedef olarak gösterdiğim sunucuları monitor etmeye başlamış durumda.
Yukarıdaki resimdede görüldüğü üzere accountun lock olma
durumunda dc01 isimli sunucu üzerinde User Account Lock olmuş ve 4740 numaralı
event oluşmuş ve bizlerde SCOM 2012 uygulaması üzerinde oluşturduğumuz rule
sayesinde alert rule olarak almış bulunmaktayız.
Bir sonraki makalemizde bu rule üzerinde custom attributeler
oluşturup System Center Orchestrator ile bütünleştireceğiz.
Hiç yorum yok:
Yorum Gönder