System Center Operations Manager 2016 ile Domain Admins Grup üyelikleri takibi Nasıl yapılır.

Merhaba,  Yönettiğimiz Active Directory ortamlarında takibini yaptığımız en kritik süreçlerden  birisi de hiç kuşkusuz ki Domain Admins, Enterprise Admins, Schema Admins gibi yönetimsel yetkileri yüksek  grupların üyelikleridir.  Geniş organizasyonlar da birden fazla Domain Admins grubunun üyesi Domain Admin  çalışıyor olabilir.  Hatta geniş bir coğrafi konumda hizmet veren bir şirketin Sistem yöneticisiyseniz farklı lokasyonlar da Domain Admin yetkisine sahip  Adminleriniz olabliir. Bugünkü konumuz  SCOM ürünü ile  Domain Admin grubuna yapılan üye ekleme işleminin monitör edilmesi olacak.  Bu takip yöntemiyle istemediğiniz bir kullanıcının hata sonucu dahi olsa Domain Admins gibi kritik bir gruba üyeliğinden haberdar olacak ve hızlıca gerekli aksiyonu alarak üyelik işlemini kimin yaptığından da bilginiz olmuş olacak.

SCOM ürünü ile  Active Directory servislerini izlemek için Active Directory versiyonunuzla uyumlu Management Pack lerin  SCOM Serverınız da kurulu olması gerekiyor.

Aşağıdaki linkler üzerinden mevcut ortamınıza uyumlu olan  MP’leri download ederek sisteminize install ve import edebilirsiniz.

Microsoft System Center Management Pack for ADDS

Microsoft System Center Management Pack for Windows Server Operating System 2016

Active directory  ile ilgili Management Pack’lere ilave olarak  Event ları monitör etmek için  Secuirty Management Pack ihtiyacımız olacak. Onu da aşağıdaki adresten download ederek  install ve import etmeniz gerekmekte.

Security Monitoring Management Pack for SCOM

yukarıda saydığım temel SCOM ile ilgili  MP tarafındaki gereksinimleri karşıladıktan sonra uygulamamıza geçebiliriz.

Kendi ortamımın ekran görüntüsünü aşağıda paylaşıyorum.

Öncelikle  DC veya  DC’lerinizin  durumu  “Healthy” olmalıdır.  Üzerlerinde SCOM agent yüklü ve running durumda olmalıdır.

Domain Controller servisim için gerekli olan Management Packleri önceden  install ve import etmiştim. Aşağıda gördüğünüz üzere Monitor edilmeye hazır durumda.

Gerekli şartları tamamladığımızdan emin olduğumuza göre artık uygulamamıza geçebiliriz.

Öncelikle,  bir rule yani kural oluşturacağız ve istediğimiz monitoring koşullarını belirteceğiz.

SCOM Console üzerinde > Authoring > Management Pack Objects > Rules  kısmına gelelim  sağ click yaparak  Create a  new rule seçimini yapalım.

Create Rule wizard ekranında aşağıdaki seçimleri yapalım.

Alert Generating Rules  içerisinden  NT Event log (Alert) seçimini yapıyoruz. Çünkü event id üzerinden ilgili süreci takip edeceğiz.

Management Pack seçimini “Default management pack” olarak seçip Next diyebiliriz.

General kısmında ise ilgili kurala isim ve isteğe bağlı açıklama giriyoruz.

Rule Category olarak “alert” seçerek Target belirtmek için Select tıklıyoruz.

Arama kısmına Windows Domain Controller yazmanız yeterli.

Target belirleme işlemi kritik  bir işlem. Doğru seçimi yaptığımıza emin olduğumuza göre sonraki adıma geçebiliriz.

Event log Type kısmını değiştirerek  “Security” yapıyoruz.

Geldik en can alıcı kısıma  izleyeceğimiz Event id türlerini ve izleyeceğimiz Grup bilgisini tanımlayacağımız alan.  Build Event Expression kısmı.

Event İd kısmına 4728 yazabiliriz.  Bu bilgiyi öğrenebileceğiniz kaynağı yazımın alt kısmında paylaşacağım.

Event Source kısmını tıklayarak parametre seçimini ve 3 seçimini yapmamız gerekiyor.

Equals kısmına  Domain Admins  yazıyoruz. Çünkü takibini yapacağımız grup domain admins grubunun üyelikleri.

Gerekli bilgileri doğru girdikten sonra next ile sonraki adıma geçebiliriz.

Configure Alerts ekranında  Priority ve Severity alanlarını default olarak bırakmanızı tavsiye ederim.

Dilerseniz açıklama ekleyebilirsiniz.

Create tıklayarak kuralımızı oluşturuyoruz.

Kuralımız oluşmuş durumda.

Biz örneğimiz de Domain Admins grubunu baz aldık. Dilerseniz  Schema Admins, Enterprise Admins gibi grupları da takip edebilirsiniz.  Yine ayrıca örneğimizi  domain admins grubuna kullanıcı ekleme üzerine kurguladık. Dilerseniz   kullanıcı çıkarma işlemini de takip edebilirsiniz.  Kural oluşturma işlemini aynen  örneğimizde olduğu gibi ilerletip  aşağıdaki parametreler içerisinden ihtiyacınız olanları  Build  Event Expression kısmında tanımlamanız yeterli.

Domain Admins

Security Group Alert - User Added to Domain Admins
Event ID = 4728
Parameter 3 = Domain Admins

Security Group Alert - User Removed from Domain Admins
Event ID = 4729
Parameter 3 = Domain Admins

Schema Admins
Security Group Alert - User Added to Schema Admins
Event ID = 4756
Parameter 3 = Schema Admins

Security Group Alert - User Removed from Schema Admins
Event ID = 4757
Parameter 3 = Schema Admins

Enterprise Admins
Security Group Alert - User Added to Enterprise Admins
Event ID = 4756
Parameter 3 = Enterprise Admins

Security Group Alert - User Removed from Enterprise Admins
Event ID = 4757
Parameter 3 = Enterprise Admins

Gelelim test işlemimizi bakalım yazmış olduğumuz kural çalışıyor mu J

Önceden açmış olduğum  Ozgur Senerdogan  isimli test kullanıcımı  Domain Admins grubuna üye yapacağım.

Testimiz başarılı.  Saat 10:27 de domain Admins grubuna üyelik işlemini gerçekleştirmiştim.

Gelen alerts daki bilgilerde bu yönde.

İlgili Alerts detaylarını kontrol ettiğimde  Subject kısmında üyelik işlemini gerçekleştiren hesap bilgisi yer almakta.  Member kısmında üyeliği sağlanan hesap bilgisi yer almakta.

Group kısmında ise üye edilen grup bilgisi yer alıyor.

Testimiz başarılı olduğuna göre şimdi de rule creation adımlarını takip ederek Domain Admins Remove user adında bir kural oluşturup test edelim.

Kural oluşturma adımları aynı olduğu için tekrar resim paylaşmıyorum. Yalnızca Build Event expression aşamasındaki değişen parametreleri paylaşıyorum.

Gördüğünüz üzere event id 4729 olarak değişti.

Kuralımızı oluşturup test edelim.

Test olması açısından Safa adında bir user açıp önce domain admins grubuna üyeliğini sağlayıp ardından gruptan çıkardım.

Testimiz başarılı. Önce domain admins grubuna üyeliğinin yapıldığına dair alert üretti. Ardından çıkarıldığına dair. Alerts isimlerini incelediğinizde zaten anlaşılmakta.

Bu makalemiz de  Microsoft SCOM ürünü kullanılan ortamlar da yaygınlıkla kullanılan bir monitoring modelinin nasıl kurgulandığını inceledik. SCOM seriminizin kalan kısımların da production ortamlar da uygulanan kapsamlı konuları inceliyor olacağız.

Ek not: e-mail notification yapılandırmanız hazırsa ilgili alertı e-mail attırabilirsiniz.
İyi çalışmalar.

SCCM ile Memory değişikliklerini e-mail ile öğrenme.

Merhaba,  geniş bir IT altyapınız mevcut ve sayıları binleri geçen clientları yönetiyorsanız  ve IT Yönetiminiz bütçeler konusunda pek esnek değilse bazı zamanlarda donanım kaynaklarının kullanımı ve artışı konusunda sizden raporlar istenebilir.  Sanallaştırma ortamınızla ilgili bu raporları farklı Toollar aracılığıyla alabilirsiniz. Fakat istemci altyapınızda örneğin, Maliyeti yüksek olan Client donanımlarından Memory değişikliklerinin ayda yılda haftada kaç kez yapıldığını raporlamanız gerekebilir.

Bu gibi durumda yapmanız gereken işlem ilgili rapor için E-mail notification oluşturmak.

SCCM Konsole > \Monitoring\Overview\Reporting\Reports  alanında Search kısmına memory yazarak aratalım.

Notification oluşturacağımız  reports türü  "Computers where physical memory has changed."

Report delivered by kısmını  E-mail olarak seçiyorum.

To: kısmına mailin iletilmesini istediğim ilgili kişi yada Distribution grubu ekliyorum. Dilersem  CC ve BCC de ekleyebilirim.

Subject : mailin başlığı dilediğiniz şekilde özelleştirebilirsiniz.

Comment: bilgi yazısı.

Render Format:  Excel olarak değiştiriyorum.  Ve  Include report aktif ediyorum.

Schedule kısmını yapınıza göre esnetebilirsiniz.  clientlarınız için kural yazıyorsanız haftalık olarak bırakabilirsiniz. Bu kural  SCCM Agent yüklü olan tüm sistemlerinizi kontrol edeceği için SCCM agent yüklü olan Sunucularınızdan da  memory değişikliğine dair rapor çekebileceksiniz.

Notification oluşturma işlemimiz başarılı.

Oluşturmuş olduğumuz notification da belirttiğimiz süre sonunda ilgili e-mailimiz ulaşmış.

İlgili excel listesini incelediğimiz de  cihaz netbios name  ve  memory önceki boyutuyla şimdiki boyutu bilgisi yer almaktadır.

SCCM ile disk doluluk uyarı bilgisini E-mail yöntemiyle alma.

Merhaba, yönettiğiniz yapılarda Gerek  Server bazında Gerek  Client bazında donanımsal uyarıları takip etmek isteyebilirsiniz.

Örneğin, kritik serverlarınız da meydana gelen Disk doluluklarından haberdar olmak isteyebilirsiniz. Veya Client sistemlerinizdeki  disk doluluk oranı  bilgisinin Helpdesk ekibine kullanıcı tarafından talep yöntemiyle değil de  otomatik olarak belirli sürelerde gitmesini isteyebilirsiniz.

Benim örneğimde tüm  client ve Server cihazlarımı kapsayacak şekilde disk doluluklarıyla ilgili bir e-mail yapılandırması yer alacaktır.

İşlemlere başlamadan önce yinelemek istediğim bir konu var, SCCM ürünü ile detaylı raporlar almak ve yapacağımız işlem vb işlemleri gerçekleştirmek için ilk koşul ve olmazsa olmaz bileşenimiz  SCCM Reporting Services Point rolünün yüklü olmasıdır. Bu rol  SCCM sisteminizde yüklü ise işlemlere başlayabiliriz J

Öncelikle E-mail Notification ayarını sistemimizde yapılandırarak başlayalım.

 

SCCM konsolumuzu açalım > \Monitoring\Overview\Alerts\Subscriptions alanında  Configure Email Notification seçimini yapalım.

Gelen ekrandaki ayarları sisteminize göre aşağıdaki şekilde doldurabilirsiniz.

SMTP server alanında  altyapınızda kullandığınız exchange  serverın  ip adresi veya FQDN bilgisini girebilirsiniz. Port bilgisi 25 olarak kalabilir.  SSL tikini relay yaptığınız connector deki ayarlara göre seçili bırakabilir veya tiki kaldırabilirsiniz.  E-mail gönderimi yapacak olduğunuz e-mail adresini girip test etmeniz yeterlidir.

Test işlemimiz başarılı.

Evet e-mail notification ayarımızı tamamladığımıza göre artık işlemimize geçebiliriz.

SCCM konsole > \Monitoring\Overview\Reporting\Reports  alanında search kısmına  Disk yazarak aratalım.  Çıkan sonuçlar aşağıdaki gibidir.

2 türlü kural yazabiliyoruz, yüzdelik belirterek örneğin disk doluluk oranı %5 ve altına düştüğünde uyarı maili atsın  ya da belirli bir MB altına düştüğünde uyarı maili atsın.

Ben örneğimde 2000 MB ve altında olan diskler için ( partitionlar dahil ) uyarı maili almak istiyorum.

Bunun için “Computers with low free disk space (less than specified MB) üzerinde bir kural oluşturacağım.

İlgili kural üzerinde sağ click

Seçimini yapıyorum.

Report delivered by kısmını  E-mail olarak seçiyorum.

To: kısmına mailin iletilmesini istedğim ilgili kişi yada Distribution grubu ekliyorum. Dilersem  CC ve BCC de ekleyebilirim.

Subject : mailin başlığı dilediğiniz şekilde özelleştirebilirsiniz.

Comment: bilgi yazısı.

Render Format:  Excel olarak değiştiriyorum.  Ve  Include report aktif ediyorum.

Schedule kısmını yapınıza göre esnetebilirsiniz. Örneğin Kritik sunucularınız için bu ayarı yapıyorsanız günlük veya saatlik dilimde ayarlayabilirsiniz.  Yada clientlarınız için kural yazıyorsanız haftalık olarak bırakabilirsiniz.

En can alıcı noktaya geldik,  MB cinsinden uyarı almak istediğiniz boyutu belirtiyorsunuz. Yazımın başında belirttiğim gibi  2000 MB ve altındaki disk ve partitionlar için uyarı e-maili  almak istiyorum.

Ve bu kuralı Tüm sistemlerime etki edecek şekilde ayarlıyorum. Özel hazırladığınız Collection yapılarınız mevcutsa ki önerim bu yönde dilediğiniz Collectionları burada tanımlayabilirsiniz. Örneğin, coğrafi olarak dağınık bir yapıya sahipsiniz ve her bölgenizde  Local IT ekibiniz mevcut her bölgenizdeki istemcilere özel  Notification oluşturarak o bölgedeki Local IT ekibinin e-mail adresine uyarıların düşmesini sağlayabilirsiniz.

Notification oluşturma işlemimiz başarılı.

Yazdığım kuralda belirttiğim süre sonunda beklediğimiz e-mail ulaşmış görünüyor J

Hemen exceli inceleyelim.

Görüldüğü üzere hem disk bazında  hem diske ait partitionlar bazında veri sunmakta.

İyi çalışmalar.