SCOM’da Event Log Takibi

Sunucularda sorun yaşandığında uyarı durumlarında ya da bilgilendirme için sistem tarafından Event Loglar üretilir. SCOM tarafından sunucularda belirli Event Loglar üretildiğinde bu Event Logların takibi yapılabilir.

SCOM’da Event Logların izlenmesi için bu logların toplanması işlemi gerekir. Bu loglar bir toplama kuralıyla toplanır ve Event View ile izlemeye alınır.

Örnekte Domain Controllerardaki kullanıcı logon işlemlerinin izlenmesi için Event Log takibi yapılacaktır.

Önemli: Domain Controllerlarda logon işlemleri çok fazla olduğundan SCOM’un veritabanının bu bilgilerle dolma ihtimali yüksektir. Bu işlem sadece örneklendirme için yapılmıştır. Bu nedenle bu işlevin daha farklı hizmetlerde kullanılması (File Server login işlemleri, Remote Desktop Services login işlemleri vb.) yerinde olacaktır.

SCOM’da Event Loglar için toplama kuralı aşağıdaki şekilde oluşturulur.

Authoring -> Management Pack Objects -> Rules’a sağ tık -> Create a new rule…

Rule Type bölümünde

Select the type of rule to create kısmında Windows tarafından oluşturulan Event Log’lar kuralla toplanacağı için

Collection Rules -> Event Based -> NT Event Log seçilir.

Management Pack bölümünde de hedef Management Pack seçilir. Örnekte Domain Controllers seçilmiştir.

Next ile devam edilir.

General bölümünde

Rule Name kısmına oluşturulacak kural için isim tanımlanır. Örnekte Collect User Logon Information olarak tanımlanmıştır.

Description kısmına açıklama tanımlanabilir.

Rule category kısmında Event Collection seçilir.

Rule target kısmında ise kuralın çalışacağı hedef belirlenir. Örnekte sadece Active Directory Domain Services rolüne sahip makineler kural hedefi olması gerekir. Bu nedenle Active Directory Domain Controller Server 2016 and above Computer Role seçilmiştir.

Next ile devam edilir.

Event Log Type bölümünde toplanacak Event Logun türü seçilir. Application, Security, System gibi Event Log tipleri tüm makineler için aynıdır. Fakat Domain Controller rolüne sahip makinelerde farklı Event Log tipleri de mevcuttur. Bu log tiplerinin seçim aşamasında görüntülenmesi için

tıklanır.

Açılan pencerede tıklanır.

Event Log tiplerinin görülmesi istenilen bir makine seçilir. Örnekte bir Domain Controller olan DC01 seçilmiştir.

Aşağıdaki görüntülenen Event Log tiplerinin Active Directory Domain Services rolüne sahip bir makineden gelen loglar olarak değiştiği görülmektedir.

Logon için gerekli Event Loglar Security tipi bir Event Log olduğundan bu bölümde Security seçilir ve OK ile seçim işlemi tamamlanır.

Next ile devam edilir.

Build Event Expression bölümünde toplanacak logun ID’si ve kaynağı belirlenir. Bu belirleme işlemi mümkün olduğunca sınırlı olmalıdır. Aksi taktirde SCOM veritabanı ihtiyaç bulunmayan gereksiz veriler barındırabilir ve bu durum da fazladan disk alanı kullanımına yol açar.

Windows Event Loglarında başarılı Logon için Event ID 4624’tür. Event Source ise aşağıdaki yöntemle bulunur. Source yani logun kaynağı log seçildiğinde aşağıdaki şekilde görülmektedir.

Fakat SCOM’da yapılacak tanım bu değildir. Bunun için log seçiliyken Details tabına geçilir, System bölümü genişletliir ve Provider altındaki Name bölümünde log kaynağının adı görüntülenir. Bu isim SCOM’da tanımlanması gereken isimdir.

Event ID ve Event Source bilgileri Build Event Expression bölümüne tanımlandıktan sonra Create ile kural oluşturma işlemi başlatılır.

Toplanılan verilerin görüntülenmesi için bir Event View oluşturulur. Event View oluşturmak için

Monitoring -> Domain Controllers’a sağ tık -> New -> Event View

Name bölümünde Event View için isim tanımlanır. Örnekte Domain Controllers Successful Logons olarak tanımlanmıştır.

Description bölümünde açıklama tanımlanabilir.

Criteria bölümünde Show data related to kısmına veriler Active Directory Domain Controller rolü bulunan tüm sunuculardan geleceği için Active Directory Domain Controller Server 2016 and above Computer Role seçilir.

Select conditions bölümünde koşul seçilir. Örnekte bir Kural tarafından toplanılan veriler gösterileceği için generated by specific rules seçilir.

Criteria description bölümünde ise daha önce oluşturulan Collect User Logon Information (logon Event Loglarını toplayan kural) seçilir.

OK ile Event View oluşturma işlemi tamamlanır.

Görüldüğü gibi oluşturulan Event View bölümünde kuralın adı, logun alındığı makine adı, kullanıcı ID’si, kullanıcı adı, domain adı gibi birçok veriyi içeren Event Log SCOM tarafından takip edilebilir hale gelmiştir.

Böylece SCOM’da Event Log takibi işlemleri tamamlanmış olur.

Faydalı olması dileğiyle…

Bir Cevap Yazın