Cómo filtrar sucesos de ACS para equipos de Linux y UNIX
Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
De forma predeterminada, ACS recopila y almacena todos los eventos registrados en los registros de eventos de seguridad de Windows. Un gran número de los eventos puede dificultar a identificar posibles problemas. Desea recopilar los eventos de seguridad que cumplen los requisitos de cumplimiento de normas de auditoría y seguridad.
Procedimiento recomendado consiste en archivar los datos utilizando un archivador de ACS y, a continuación, restaurarla en un repositorio histórico. Desde este repositorio, puede ejecutar el filtrado. El procedimiento siguiente proporciona la capacidad para mantener todos los eventos de auditoría y optimizar el rendimiento de informes de datos de auditoría. Por ejemplo, desea almacenar todos los eventos de inicio de sesión correctos (540,528), pero no informar en ellos, a menos que se auditan.
Para filtrar los Id. de evento mediante el uso de AdtAdmin
-
En el símbolo del sistema, cambie al directorio de trabajo %windir%\system32\security\AdtServer.
-
En la misma ventana del símbolo del sistema, para establecer los parámetros de consulta, escriba AdtAdmin /setquery /query: "seleccionar * de AdtsEvent donde no (Id. de evento = 560 o EventID = 562 o...)", donde los EventIDs enumerados son los eventos de auditoría se omite en el registro de eventos.
Por ejemplo, para establecer un filtro para que sólo los eventos de seguridad de UNIX y Linux se registran en el registro de eventos de seguridad de Windows, para establecer los parámetros de consulta, escriba AdtAdmin /setquery /query: "seleccionar * de AdtsEvent donde no (EventID = 560 o EventID = 562 o EventID = 569 o Id. de evento = 570 o Id. de evento = 571 o Id. de evento = 26401 EventID o = 4665 o Id. de evento = 4666 o Id. de evento = 4667 o Id. de evento = 4624 o Id. de evento = 4634 o Id. de evento = 4648 o Id. de evento = 5156 o Id. de evento = 4656 o Id. de evento = 4658 o Id. de evento = 5159) ".
Para obtener información adicional acerca de cómo usar AdtAdmin.exe, consulte Administración de servicios de recopilación de auditorías (AdtAdmin.exe).
Vea también
Recopilación de eventos de seguridad con servicios de recopilación de auditorías en Operations Manager
Cómo configurar certificados para el recopilador de ACS y reenviador
Planificación de la capacidad de los servicios de recopilación de auditorías
Contadores de rendimiento de los servicios de recopilación de auditorías
Cómo habilitar la recopilación de auditoría servicios de reenviadores (ACS)
Seguridad de los servicios de recopilación de auditorías
Seguridad de los servicios de recopilación de auditorías
Supervisión de rendimiento de servicios de recopilación de auditorías
Cómo quitar los servicios de recopilación de auditorías (ACS)
Administración de servicios de recopilación de auditorías (AdtAdmin.exe)