SCOM Audit Collector

Ранее я уже писал о возможных проблемах при использовании SCOM Audit Collector.

На днях словил еще одну…

Коллега пожаловался, что пользователь был удален из группы безопасности, однако когда и кем – неизвестно.

Так как пользователя сначала добавили обратно, а потом написали мне, я не смог выяснить источник изменений с помощью следующей команды.

На первый взгляд, отчет работал, события с контроллеров домена в него прилетали.

Затем я проверил статус службы AdtAgent (Microsoft Monitoring Agent Audit Forwarding) – на всех контроллерах домена она была запущена.

Для проверки предположения, что какие-то из контроллеров домена не отправляют отчет, был разработан следующий скрипт:

Данный скрипт должен пройтись по всем контроллерам домена и выполнить на каждом из них следующие действия:

• создание группы с названием, совпадающем с названием контроллера домена;
• добавление в эту группу пользователя testuser.

После этого я проверил в отчете появление групп, соответствующих Writeable Domain Controllers. Три контроллера домена в этом отчете отсутствовали.

Я вручную перезапустил службы AdtAgent на этих контроллерах домена и проверил содержимое журнала OperationsManager. Через минуту после перезапуска службы в нем регистрировалось событие от AdtAgent

После этого я решил проверить статус агентов SCOM:

У двух контроллеров домена была устаревшая версия. Статус “здоровья” третьего был критичный.

Дальше пришлось переустанавливать агента, но я был вознагражден записью в логе:

Ну и в отчет информация с этих контроллеров тоже стала попадать.