Merhaba, yapınız genelinde güvenlik nedeniyle Domain Controller üzerinde Account Lock Out Policy tanımlamış olabilirsiniz, ki güvenlik nedeniyle önerilen bir işlem. Bazı kritik hesapların (üst yönetim kullanıcıları, veya servis hesapları.) kilitlendiği zaman bilginiz olması gerektiği senaryolar olabilir. İşte bu gibi durumlarda System Center Operations Manager üzerinden bu süreci nasıl takip edebileceğimizi yazımda paylaşacağım. Dilerseniz Domain genelindeki tüm kullanıcıların Account Lock out süreçlerini takip edebilir yada sadece belirlediğiniz accountların takibini sağlayabilirsiniz.
SCOM üzerinden Authoring panele gelerek işlemlere başlayabiliriz. Rules > Create New Rule seçimi ile ilerliyoruz.
Alert Generating Rules > Event based > NT Eveng Log (alert) seçimi ile ilerleyelim.
Rule name And Description alanında ise isim ve dilersek açıklayıcı bilgi girebiliriz. Ben örneğimde sadece yönetimden olan kullanıcıları takip edeceğim için açıklama kısmına bu bilgiyi girdim.
Rule Category: Alert olarak bırakıyoruz.
Rule Target: alanında ise Select ile ilerleyerek açılan listeden Windows Computer bularak ekliyoruz.
Event Log Type Security olarak ayarlıyoruz.
Geldik en kritik kısıma. Build Event Expression alanında ise doğru alert almamız için konfigürasyon yapacağız.
Event Id 4740 olarak ayarlayıp başka hiç bir parametre belirtmezsek DC’deki Lock olan tüm kullanıcıların alertlarını bize bildirecektir. Bu durum büyük yapılarda pek tercih edilen bir yöntem değil. 5.000 veya 10.000 user olan bir ortamda günlük %1 user account lock olsa ortalama 100 user lock alert SCOM üzerine yansır ki buda pek istediğimiz bir durum olmaz.
Biz yönetimden belirlediğimiz kullanıcı veya kullanıcıları takip edeceğimiz için ek bir parametre daha ilave edeceğiz. Insert seçimi ile devam edelim.
Üstteki resimde göreceğiniz üzere Insert seçimi yaptıktan sonra açılan pencereden, Specify event specific parameter to use seçimini yaparak Event Parameter number : 1 belirtiyoruz ve OK ile işlemi kapatıyoruz.
Contains seçimi ile Value kısmına Account lock out durumunu takip etmek istediğimiz kullanıcı ismini belirtiyoruz. Bizim örneğimizde bill.gates kullanıcısının lock out sürecini takip edeceğiz.
Custom bir Alert açıklaması girmek istemiyorsak Create seçimi ile rule oluşturma işlemini sonlandırabiliriz.
Rule oluştu. Sıra geldi test işlemine. Öncelikli olarak bill.gates kullanıcı hesabını lock edeceğiz. Ve alert üretip üretmediğini takip edeceğiz.
Account lock oldu.
FileServer isimli sunucudan account lock işlemini denemiştim.
Kuralımız sorunsuz çalışıyor. SCOM üzerine düşen alert aşağıdaki gibi.
Şimdide test amaçlı başka bir kullanıcıyı lock edelim. Diğer tüm kullanıcıların oluşturmuş olduğumuz kuraldan etkilenmemesi yani alert üretmemesi gerekli.
Hemen test edelim.
Ozgur.senerdogan kullanıcısını lock etmiş durumdayım.
SCOM üzerine düşen herhangi bir alert mevcut değil.
Senaryo gereği kritik bir servis accountunuz var ve bu hesabıda takip etmek istiyorsanız. Oluşturmuş olduğumuz kuralın içine parameters kısmına bu servisin adını yazmanız yeterli.
Hiç yorum yok:
Yorum Gönder