ACS Noise Filter

SCOM 2007 R2 üzerinde Audit Collection Service aktif edildiğinde scom istemcilerinden security loglarını toplamaya başlayabilirsiniz. Ancak bir süre sonra oldukça fazla log oluştuğunu ve bunların arasında bir filtreleme yapamadığınızı fark edebilirsiniz.

Aslında bu noktada Audit Collector’un arka planından biraz bahsetmemiz gerekli. Audit Collector istemcilerden gelen tüm veriyi kuyruğa alıp, filtreleyip ardından ACS veritabanına yazan bileşendir. Arka planda AdtServer isimli bir servis çalıştırır ve %systemroot%system32securityAdtserver dizininde exe’si bulunmaktadır.  Bu dizindeki en önemli dosyalardan biri AcsConfig.XML’dir. Bu dosyanın içerisinde audit forwarderların son iletişim tarihleri ve gönderilen event sayıları gibi bilgiler bulunmaktadır.

Yukarıdaki soruna tekrardan gelecek olursak, toplanan Security loglar üzerinde filtreleme gerçekleştirmek yapılması gereken önemli bir adımdır. Çünkü varsayılanda ACS varolan tüm security loglarını hiçbir filtreleme gerçekleştirmeden toplamaktadır. Bu da machine account logon eventları ile birlikte içinden çıkılamaz sayıdaki loglara ulaşmanıza neden olabilir.

Filtreleme uygulamak için adtadmin.exe aracını kullanabilirsiniz. Aşağıdaki örnek filtre, sizin hazırlayacağınız filtreler için güzel bir başlangıç olacaktır.

adtadmin /setquery /collector:”collectorname” /query:”SELECT * FROM AdtsEvent WHERE NOT (((EventId=528 AND String01='5') OR (EventId=576 AND (String01='SeChangeNotifyPrivilege' OR HeaderDomain='NT Authority')) OR (EventId=538 OR EventId=566 OR EventId=672 OR EventId=680)))”