SCOM Audit Collector

Ранее я уже писал о возможных проблемах при использовании SCOM Audit Collector.

На днях словил еще одну…

Коллега пожаловался, что пользователь был удален из группы безопасности, однако когда и кем — неизвестно.

Так как пользователя сначала добавили обратно, а потом написали мне, я не смог выяснить источник изменений с помощью следующей команды.

repadmin /showobjmeta

На первый взгляд, отчет работал, события с контроллеров домена в него прилетали.

Затем я проверил статус службы AdtAgent (Microsoft Monitoring Agent Audit Forwarding) – на всех контроллерах домена она была запущена.

Для проверки предположения, что какие-то из контроллеров домена не отправляют отчет, был разработан следующий скрипт:

Get-ADDomainController -filter * |%{
New-ADGroup -Name $_.name –GroupCategory Security -GroupScope Global -Path "ou=test,dc=holding,dc=com" -Server $_.name -Verbose
Add-ADGroupMember -identity $_.name -Server $_.name -Members testuser -Verbose}

Данный скрипт должен пройтись по всем контроллерам домена и выполнить на каждом из них следующие действия:

  • создание группы с названием, совпадающем с названием контроллера домена;
  • добавление в эту группу пользователя testuser.

После этого я проверил в отчете появление групп, соответствующих Writeable Domain Controllers. Три контроллера домена в этом отчете отсутствовали.

Я вручную перезапустил службы AdtAgent на этих контроллерах домена и проверил содержимое журнала OperationsManager. Через минуту после перезапуска службы в нем регистрировалось событие от AdtAgent

Forwarder unsuccessfully tried to connect to the following collector(s):
om02.holding.com:51909, status: 0x3E3 (handshake), source: registry
addresses tried:
10.0.0.1:51909

После этого я решил проверить статус агентов SCOM:

У двух контроллеров домена была устаревшая версия. Статус «здоровья» третьего был критичный.

Дальше пришлось переустанавливать агента, но я был вознагражден записью в логе:

Forwarder successfully connected to the following collector:
om02.holding.com:51909, status: 0x0 (success), source: registry
  addresses tried:
10.0.0.1:51909

Ну и в отчет информация с этих контроллеров тоже стала попадать.

Запись опубликована в рубрике Microsoft, SCOM. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *