Microsoft Azure Operational Insights, and more.

System Center Advisor est devenu Microsoft Azure Operational Insights:

 

Beaucoup d'informations intéressantes vous sont proposées, comme les changements de configurations, sur la sécurité, le capacity, etc. Dans les nouveautés, on note la partie SQL annoncée il y a quelques jours :

 

Vous retrouverez ces points et bien plus sur le blog de l'équipe http://blogs.technet.com/b/momteam/

 

Dans la suite de ce post, je vais vous montrer comment rajouter de nouvelles informations dans l'eventlog et les afficher dans la partie "log management".Connaissez-vous l'outil Sysmon de Mark Russinovich ?  http://technet.microsoft.com/en-us/sysinternals/dn798348

Il a été développé pour détecter des activités malicieuses comme le lancement de nouveau process, le changement de la date de création d'un fichier, l'activité réseau.

 

L'outils trace dans un eventlog particulier, ce qui va vous permettre de:

  • Soit créer des règles de collecte avec des rapports Scom. (old school)
  • Soit d'utiliser Azur, pour stocker et présenter ces données.

 

En effet la seconde méthode est plus simple/pratique, car vous avez moins de configuration à faire, et la présentation des données est plus dynamique qu'un "simple" rapport SQL. On est beaucoup plus proche de ce que l'on peut faire avec PowerPivot, comme drill-down ou des filtres dynamiques.

En terme de configuration, il faut :

  1. Installer sysmon sur un ou plusieurs serveurs. Example : sysmon –i -accepteula –h md5 –n
  2. Faire en sorte que l'agent remonte des informations à Advisor
  3. Configurer la remontée de l'eventlog de sysmon:

 

En terme de consultation, comme vous pouvez le voir ci-dessous :

1 <--> Le nombre d'évènements par serveur

2 <--> Ajout d’un filtre

3 <--> Le détail des éléments collectés ! :-)

 

Vous constaterez que Sysmon va remonter sur un agent Scom tous les lancements des scripts puisque tous les eventID 1 sont des créations de nouveaux process.

 Enfin si vous voulez maitriser la recherche et le filtrage, vous pouvez aller voir le Blog de Daniele Muscetta