locked
セキュリティログ収集 RRS feed

  • 質問

  • OperationsManager2007より監視しているWindowsXPクライアントのセキュリティログを収集し

    監査レポートを作成しようといますがセキュリティログの収集が行われていないようで監査レポート

    が作成されません。

     

    実践ガイドの手順に沿いACSデータベースのインストール、コレクタサービスの起動、フォワーダの

    有効化は行っております。

     

    また「監視」コンソールの「アクティブなアラート」に以下の警告が出ています。

    「Microsoft監査コレクションサービスコレクタのデータベース操作のエラー」

     

    上記警告が出るのはどのような原因が考えられるでしょうか。

     

    その他にも重要なアラームがいくつか出ています。

     

    また監査レポートに関するドキュメントが掲載されているページがありましたらご教示ください。

     

    2008年6月5日 4:34

回答

  • Book's さん、こんにちは。
    フォーラムオペレータの鈴木裕子です

     

    ACS コレクションサービスについての警告があがっていたとの事ですが、
    メッセージの内容からは、
    コレクタ側に問題が生じている可能性が考えられるのでは?と思います。
    ただ、ご投稿の内容だけでは、原因の推測は難しい感じがしますので、
    よろしければ、状況の詳細を再投稿してみて下さい!

     

    例えば下記のような点を確認していただくと、何かヒントが見つかるかもしれません。

     

    ・他の重要なアラーム・・・何か関係しているものがないか。
    ・コレクタ側の ACS サービスは正しく起動しているか?
    ・SQL は ACS データベースを正しく認識しているか?
    ・・・フォワーダからの情報がデータベースに登録できない場合は、レポートが作成されないため。

     

    また、アプリケーションイベントログに、Ops や SQL 関連のエラーが発生している場合は、
    そちらのイベント番号やエラー内容がヒントになる可能性もありますので、
    そちらも確認してみて下さい!

     

    なお、ACS に関しては以下のようなKBもありました。
    念のため、こちらも確認していただくと良いのではと思います。

     

    読み取る専用のソースから 監査 コレクション サーバー をインストールした後に、 Operations Manager監査 コレクション サービス は起動せず、 イベント ID 4668 が記録されます。
    http://support.microsoft.com/kb/936579/ja

     

    ご参考となれば幸いです!

    2008年6月11日 5:54
    モデレータ
  • Book's さん、こんにちは。
    フォーラムオペレータの鈴木です

     

    SQLとの連携について記述されているドキュメント、
    探してみたのですが、
    残念ながら見つかりませんでした・・・・
    お力になれず、ごめんなさい!

     

    SQLの方でACSデータベースを認識しているかについては、
    SQL Server Management Studio から、
    ACS のデータベースが「オフライン」や「未確認」になっていないかを、確認していただくとよいのではと思います。

     

    「オフライン」や「未確認」になっていた場合は、
    SQL Server のログファイルやアプリケーションイベントログから、その原因を調査していく方法になるのではないかと。
    「オンライン」になっているのに現象が発生している場合は、詳細な調査にもとづいた切り分けが必要になる感じがします・・・
    なので、サポート窓口に問い合わせいただくのがよいかもしれません。

     

    製品別 お問い合わせ - 製品一覧
    http://support.microsoft.com/select/?target=assistance

     

    参考までに、
    「ログが収集されない」という点で関係がありそうな情報として、
    ↓このようなKBもありました。

     

    通知サブスクリプションの 警告条件 オプションは、 システム センター Operations Manager 2007 に正常に機能しません。
    http://support.microsoft.com/kb/937470/ja

     

    こちらは、SP1 で修正されているようです。
    よろしければ確認してみてください!

     

    システム センター Operations Manager 2007 Service Pack 1 に修正される問題の一覧
    http://support.microsoft.com/kb/944443/ja

     

    2008年6月23日 9:17
    モデレータ

すべての返信

  • Book's さん、こんにちは。
    フォーラムオペレータの鈴木裕子です

     

    ACS コレクションサービスについての警告があがっていたとの事ですが、
    メッセージの内容からは、
    コレクタ側に問題が生じている可能性が考えられるのでは?と思います。
    ただ、ご投稿の内容だけでは、原因の推測は難しい感じがしますので、
    よろしければ、状況の詳細を再投稿してみて下さい!

     

    例えば下記のような点を確認していただくと、何かヒントが見つかるかもしれません。

     

    ・他の重要なアラーム・・・何か関係しているものがないか。
    ・コレクタ側の ACS サービスは正しく起動しているか?
    ・SQL は ACS データベースを正しく認識しているか?
    ・・・フォワーダからの情報がデータベースに登録できない場合は、レポートが作成されないため。

     

    また、アプリケーションイベントログに、Ops や SQL 関連のエラーが発生している場合は、
    そちらのイベント番号やエラー内容がヒントになる可能性もありますので、
    そちらも確認してみて下さい!

     

    なお、ACS に関しては以下のようなKBもありました。
    念のため、こちらも確認していただくと良いのではと思います。

     

    読み取る専用のソースから 監査 コレクション サーバー をインストールした後に、 Operations Manager監査 コレクション サービス は起動せず、 イベント ID 4668 が記録されます。
    http://support.microsoft.com/kb/936579/ja

     

    ご参考となれば幸いです!

    2008年6月11日 5:54
    モデレータ
  •  

    返信ありがとうございます。

     

    その後、再インストール、設定変更などを繰り返しOperationsManagerとSqlServer2005との

    連携の設定が正しく行われていないとみています。

     

    実践、展開ガイドにはSqlServer側の設定に関する記述は無いように見受けられますがその他の

    ドキュメントで記述されてる物がありますでしょうか。

     

    また先の返信にて

    >・コレクタ側の ACS サービスは正しく起動しているか?

     こちらは正常にサービス起動しております。

     イベント ID 4668の問題も解消済みです。

     

    >・SQL は ACS データベースを正しく認識しているか?

     この辺りが不明です。

     

    現在OperationsManager上で上がっているアラームが全てSqlServer関連ですので

    連携に関するドキュメント類があればご教示下さい。

     

     

    2008年6月12日 2:35
  • Book's さん、こんにちは。
    フォーラムオペレータの鈴木です

     

    SQLとの連携について記述されているドキュメント、
    探してみたのですが、
    残念ながら見つかりませんでした・・・・
    お力になれず、ごめんなさい!

     

    SQLの方でACSデータベースを認識しているかについては、
    SQL Server Management Studio から、
    ACS のデータベースが「オフライン」や「未確認」になっていないかを、確認していただくとよいのではと思います。

     

    「オフライン」や「未確認」になっていた場合は、
    SQL Server のログファイルやアプリケーションイベントログから、その原因を調査していく方法になるのではないかと。
    「オンライン」になっているのに現象が発生している場合は、詳細な調査にもとづいた切り分けが必要になる感じがします・・・
    なので、サポート窓口に問い合わせいただくのがよいかもしれません。

     

    製品別 お問い合わせ - 製品一覧
    http://support.microsoft.com/select/?target=assistance

     

    参考までに、
    「ログが収集されない」という点で関係がありそうな情報として、
    ↓このようなKBもありました。

     

    通知サブスクリプションの 警告条件 オプションは、 システム センター Operations Manager 2007 に正常に機能しません。
    http://support.microsoft.com/kb/937470/ja

     

    こちらは、SP1 で修正されているようです。
    よろしければ確認してみてください!

     

    システム センター Operations Manager 2007 Service Pack 1 に修正される問題の一覧
    http://support.microsoft.com/kb/944443/ja

     

    2008年6月23日 9:17
    モデレータ
  • Book'sさん、こんにちは! 中川 俊輔です。

     

    まことに恐縮なのですが、弊社鈴木の投稿がお力になれたようですので、

    鈴木の投稿に回答済みチェックをつけさせていただきました。

     

    今後ともフォーラムをよろしくお願いします。

     それでは!

    2008年7月29日 5:29