Ранее я уже писал о возможных проблемах при использовании SCOM Audit Collector.
На днях словил еще одну…
Коллега пожаловался, что пользователь был удален из группы безопасности, однако когда и кем – неизвестно.
Так как пользователя сначала добавили обратно, а потом написали мне, я не смог выяснить источник изменений с помощью следующей команды.
На первый взгляд, отчет работал, события с контроллеров домена в него прилетали.
Затем я проверил статус службы AdtAgent (Microsoft Monitoring Agent Audit Forwarding) – на всех контроллерах домена она была запущена.
Для проверки предположения, что какие-то из контроллеров домена не отправляют отчет, был разработан следующий скрипт:
Данный скрипт должен пройтись по всем контроллерам домена и выполнить на каждом из них следующие действия:
- создание группы с названием, совпадающем с названием контроллера домена;
- добавление в эту группу пользователя testuser.
После этого я проверил в отчете появление групп, соответствующих Writeable Domain Controllers. Три контроллера домена в этом отчете отсутствовали.
Я вручную перезапустил службы AdtAgent на этих контроллерах домена и проверил содержимое журнала OperationsManager. Через минуту после перезапуска службы в нем регистрировалось событие от AdtAgent
После этого я решил проверить статус агентов SCOM:
У двух контроллеров домена была устаревшая версия. Статус “здоровья” третьего был критичный.
Дальше пришлось переустанавливать агента, но я был вознагражден записью в логе:
Ну и в отчет информация с этих контроллеров тоже стала попадать.