none
Realizar auditoria de mudanças com o SCOM 2007 RRS feed

  • Discussão Geral

  • Prezados,

    Aqui na empresa estamos realizando uma analise à pedido do Diretor da Área.

    Existiu alguns problemas aqui relacionados à auditoria sobre mudanças que são realizadas nos servidores de produção. Muitas vezes instalam alguns softwares ou realizam algumas mudanças em alguma configurações do servidores que acabam nos trazendo problemas.

    A ideia era auditar todas as mudanças realizadas nos servidores e consolidar isso em um dashboard central, afinal temos mais 150 servidores.

    Li algumas coisas sobre o Operation Manager 2007 e parece que ele consegue pegar todos os logs gerados pelo security do Windows e armazenar em um logal central e a partir dai consigo manipular essas informações com maior facilidade através do SQL Sever 2005. Porém, não sei se é viável administrativamente, pois além de habiltar as auditorias no AD, precisarei ir de objeto em objeto apontando o que eu vou auditar, como por exemplo, criação, deleção e alteração de arquivos.

    Gostaria de saber alguma opinião sobre esse assunto. Tenho alguns receios, pois acho que teria muito trabalho para criar a auditoria de logs, além de não saber o quanto de onus de processamento posso ter em nivel de servidor e de rede.

    Por acaso alguém já realizou algum deploy de uma solução parecida com o SCOM 2007?

    Obrigado

    terça-feira, 13 de outubro de 2009 13:15

Todas as Respostas

  • Ola Fabrizio, tudo bem?

    O nome desse recurso que vc se refere é ACS (Audit Collection Services). E a função dele é exatamente essa que vc falou, coletar os logs de segurança dos servidores e armazena-los em um local central. Por padrão tudo o que é escrito no log de segurança dos servidores é escrito na base de dados do ACS, mas é possivel fazer um filtro e armazenar somente as informações que vc realmente precisa.

    Uma vez coletados vc pode gerar relatórios para analisar as informações coletadas. Ja existem uma série de relatorios prontos do ACS mas vc pode criar os seus próprios relatórios. O OpsMgr 2007 utiliza o Reporting Services do SQL Server.

    Como o ACS é um recurso do OpsMgr 2007 é necessário que vc tenha implantado o mesmo. O correto dimensionamento de servidores e base de dados dependerá da quantidade de objetos que serão auditados. Voce poderá utilizar o System Center Capacity Planner 2007 para gerar um modelo da sua rede e ter ideia do tamanho da infraestrutura necessária.

    Uma sugestão para começar a conhecer o ACS, é fazer uma prova de conceito ou piloto. Instale o produto e habilite o ACS em alguns servidores. Isto te ajudará a dimensionar a base de dados quando vc habilitar o ACS em todos os servidores. Daí vc poderá verificar se o que o produto oferece atende as suas necessidades.

    Abraços,


    Wilson Sekiguti - MCSE, MCDBA, MCSA, MCTS - OpsMgr2007
    quarta-feira, 14 de outubro de 2009 13:56
  • Wilson,

    Obrigado pelas informações.

    Por acaso, existe alguns templates de auditoria para ser instalados nos servidores clientes?

    Eu queria fugir da etapa de ficar habilitando o auditing nos objetos.

    Obrigado
    quarta-feira, 14 de outubro de 2009 16:27
  • Olá Fabrizio, beleza?

     

    Cara esta é uma situação bem interessante, controlar as alterações na configuração de cada servidor exige uma atuação bem organizada, para que a quantidade de tarefa administrativa não acabei sobrecarregando os recursos.

     

    Assim como nosso amigo Sekiguti já explicou muito bem, você pode utilizar a ACS no SCOM, porém temos aqui um ponto importantíssimo a se pensar: A base da ACS tende a ser enorme. Para você ter uma idéia, se estiver pensando em centralizar os logs de segurança para os seus 150 servidores (imaginando que 10 deles sejam DCs) e você mantiver estes logs num histórico de apenas 30 dias a base da ACS terá por volta de 400GB J

     

    Porém, você tem uma alternativa (paga) criada pela empresa Tripwire, veja http://www.tripwire.com/compliance/scom/

     

    Agora eu sugiro que você utilize para este fim o SCCM com a sua funcionalidade chamado DCM, veja http://technet.microsoft.com/en-us/library/bb693504.aspx , pois o SCCM é a solução da Microsoft mais indicada para o gerenciamento de alterações e confiuração.

     

    Espero que isso ajude.

    Abraços e boa sorte,

     

    Cleber Marques

    Microsoft MVP & MCT | Charter Member: SCVMM & MDOP
    Projeto MOF Brasil: Simplificando o Gerenciamento de Serviços de TI
    Meu Blog | MOF.com.br | CleberMarques.com | CanalSystemCenter.com.br
    terça-feira, 20 de outubro de 2009 02:23
    Moderador
  • Olá Cleber,

    Obrigado pela ajuda.

    Estarei avaliando o SCCM para esta finalidade.

    Obrigado
    terça-feira, 20 de outubro de 2009 15:26