none
SCOM и ACS. Любых версий. RRS feed

  • Общие обсуждения

  • Доброго времени суток, коллеги!

    Назрел тут у меня один вопросец.
    Достаточно давно ковыряю палочкой ACS. И в 2007 ковырял, и в 2012. Чем больше ковыряю, тем больше склоняюсь к мысли, что штука совершенно бесполезная и имеет весьма ограниченное применение. Настолько ограниченное, что я не могу придумать зачем она может быть нужна в реальном мире.

    То есть я в курсе зачем она нужна в теории. Я знаю как её ставить, настраивать, пользоваться. И даже имею хоть и общие, но представления о том, как можно репорты кастомизировать. В рамках офдоки и курса 5504A.
    Вопрос заключается в следующем:

    Есть ли кто-то, кто её либо сам пользует, либо хотя бы знает, что она кем-то пользуется. Причем не в режиме "поставил и забыл", а действительно использует.
    Если есть, то во-первых, сколько серверов/пользователей в этой инфраструктуре. А, во-вторых, какие реальные проблемы она помогает решать.
    Повторюсь, теорию я знаю, с красивыми презентациями и восторженными комментариями манагеров по продажам ознакомлен. Интересует информация из первых рук.

    Спасибо.

    27 августа 2013 г. 5:21

Все ответы

  • у меня 2 коллектора в кластере Актив-пассив,

    5000 клиентов,

    зачем, сбор секюр логов, а так же разгружаем ИТ отдел,

    отчёты создавай какие хочешь или делай запросы напярмую из базы:

    кто удалил папку, группу, создал ГПО итд. всё находится, время на сервере поменял, очистил логи итп итд

    27 августа 2013 г. 21:01
  • Спасибо за ответ.

    Ещё несколько вопросов можно?

    Сколько времени хранятся события аудита? Какой размер базы?

    По поводу того, что с логами можно делать я как бы в курсе.

    Интересует, чем из этого реально приходилось пользоваться? Не абстрактно "а можно узнать то-то", а конкретно "были прецеденты получения такой-то информации"

    Спасибо

    28 августа 2013 г. 4:58
  • время сколько хотите, это в любой момент меняемо.

    размер у нас 2тб, всего 4 но 50% свободно

    да, время прихода и ухода на работу сотрудника )

    получиние админских прав на раб.станции

    причины блокировки уч.записи


    28 августа 2013 г. 8:43
  • Вот 2 ТБ - это за какой период?

    Приход/уход/получение прав - это у Вас ACS смотрит логи всех рабочих станций?

    28 августа 2013 г. 8:49
  • год, но это без фильтров, все события

    ацс их собирает с раб.станций и серверов и пишет в базу


    28 августа 2013 г. 11:38
  • в том числе, с DC и файловых, я верно понял?

    28 августа 2013 г. 12:11
  • конечно, 75% именно они занимают места в базе

    28 августа 2013 г. 12:16
  • Спасибо.

    Одна живая инсталляция ACS есть.

    Неужели все?

    28 августа 2013 г. 12:27
  • ну АЦС не лучшее решение конечно, со своей работой справляется на ура и главное не требует доп вложения, если SCOM уже лицензирован
    28 августа 2013 г. 12:30
  • Я использую. Очень часто требуется информация о том, с какой рабочей станции был заблокирован пользователь. Кто создал/удалил пользователя из группы и т.д. В компаниях over 1000 человек очень удобно. В компаниях 100-200 человек и 2мя контроллерами домена это не актуально.


    Vladimir Zelenov | http://systemcenter4all.wordpress.com

    11 сентября 2013 г. 4:59
    Отвечающий
  • У меня больше десяти тысяч народонаселения. И я честно не первый год пытаюсь найти в чем удобство ACS. Пока не смог. Основная проблема - невозможность разделения какие события сколько хранить. У меня для того, чтобы мониторить секурити логи на сегодняшний день используется связка ФорвардингЕвентс + самописное приложение + самописная БД + репорты опять же самописные.

    При всех минусах такого подхода (а я считаю его очень неправильным), я имею, например, информацию о том, с какого ПК кто залочился, хранящееся месяц, а какой администратор в какую группу кого поместил, или какую учетку создал, хранящееся пять лет. А, скажем, ошибки аутентификации или кто какой файл удалил хранятся неделю. И вот это действительно удобно.

    Поймите правильно, я не ставлю своей целью как-то очернить ACS. Я действительно испытываю потребность в каком-то более-менее адекватном решении. Но пока, увы.

    11 сентября 2013 г. 6:03
  • Я попробовал включить ACS на одном  файловом сервере и двух контроллерах домена. Понял, что допиливать его надо очень долго. Начиная с фильтрации какие события собирать, ведь по умолчанию,как я понял, он тянет все что попадает в security log и база ACS начала очень активно пухнуть. Боюсь соврать, но за пару дней разрослась чуть ли не до 10Gb.  Но собрать события это еще не все. Меня интересовал для начала файловый аудит, но я не нашел в SCOM отчетов с возможностью поиска по имени пользователя или имени файла. Скорость построения отчетов также не порадовала. Возможно я неправ, но в результате сейчас ковыряю поделия от Netwrix 

    12 сентября 2013 г. 5:57
  • база действительно растёт быстро, тк по умолчанию тянутся абсолютно все события из журнала безопасности, поэтому важно настроить фильтры и время хранения.

    так же абсолютно верно, что отчётов многих нету, но их очень легко сделать, написав правильный запрос к БД.

    я большинство отчётов делаю например напрямую из БД, запуская тот или иной запрос.

    как я уже писал выше, ACS не лучшее решение, но он идёт как бонус к SCOM, те вы не затрачиваетесь на доп лицензии в принципе. вам не нужно ставить дополнительно агенты итп.

    12 сентября 2013 г. 6:24
  • Настроен ACS на 3-х DC и сегодня настроил на FS. Боюсь что не выдержит база ACS, как узнать производительность базы?
    4 октября 2013 г. 12:31
  • в каком смысле не выдержет?

    посмотрите скорость дисков на сервере базы данных или производительность ACS, наскока загружен канал

    4 октября 2013 г. 12:40