稽核線索
重要
這個版本的 Orchestrator 已終止支援。 我們建議您 升級至 Orchestrator 2022。
稽核記錄 是文字記錄檔的集合,其含有 Runbook 與外部工具和系統互動的相關資訊。 透過稽核記錄,您可以回報處理序的設定和變更相容性,也可以識別對非 Microsoft 系統所做的變更,以供稽核之用或補救導致服務中斷的變更。
依據您叫用的 Rubook 數目以及這些 Runbook 包含的活動數目而定,稽核記錄可能會在執行 Management 伺服器和 Runbook 伺服器的電腦上佔用大量的磁碟空間。 如果啟用稽核,您應該實作封存程式,以定期將稽核記錄所產生的檔案移至另一部計算機。
啟用或停用稽核記錄
根據預設,當您安裝 Orchestrator 時,不會啟用稽核記錄。 您可以使用下列程式來啟用或停用它:
- 以系統管理認證開啟命令提示字元。
- 瀏覽至
C:\Program Files (x86)\Microsoft System Center\Orchestrator\Management Server。
- 瀏覽至
C:\Program Files\Microsoft System Center\Orchestrator\Management Server。
若要啟用稽核記錄,請輸入 atlc /enable。
若要停用稽核記錄,請輸入 atlc /disable。
稽核記錄檔
稽核記錄檔是以逗號分隔值 (.csv) 檔案格式來儲存。 下表顯示詳細資料:
記錄類型: Runbook Publisher
檔名:計算機名稱_ RunbookPublisher_Timestamp.csv
內容:
Runbook 的啟動日期和時間
啟動 Runbook 的使用者名稱和網域
Runbook 執行的電腦名稱
| 電腦 | 位置 |
|---|---|
| 管理伺服器 | C:\ProgramData\Microsoft System Center 2012\Orchestrator\Audit\ManagementService |
| Runbook 伺服器 | C:\ProgramData\Microsoft System Center 2012 \Orchestrator\Audit\RunbookService |
記錄類型: 啟用運行時間資訊
檔名:計算機名稱_ ObjectRuntimeInfo_Timestamp.csv
內容:
活動的執行日期和時間
執行活動的 Runbook 伺服器名稱
執行活動的作業處理序識別碼
活動以輸入資料形式接收的物件 XML 程式碼
| 電腦 | 位置 |
|---|---|
| Runbook 伺服器 | C:\ProgramData\Microsoft System Center 2012 \Orchestrator\Audit\PolicyModule |
當檔案的大小達到 200 MB 時,系統會建立新檔案。 檔案名稱含有時間戳記,如此可確保每個檔案名稱都是唯一的。 在稽核記錄檔中,密碼和其他加密的文字欄位均以五個星號 (*****) 來呈現。
注意
保存稽核檔案的 ProgramData 資料夾通常是隱藏的系統資料夾。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應