С проблемой, потери линка в DFS кто-нибудь разобрался ?
» Microsoft Operations Manager (MOM 2005/SCOM 2007)
Пробуйте Alchemy Eye все что надо для мониторинга серверов у нас 30 серверов и все моиториться как надо (не реклама а личный опыт)
nook2
Только я не нашел возможностей отчетов в этой программе + где мониторинг AD + Exchange + Cluster Servers + ISA Servers. Также мониторинг различных компонентов этих служб.
Только я не нашел возможностей отчетов в этой программе + где мониторинг AD + Exchange + Cluster Servers + ISA Servers. Также мониторинг различных компонентов этих служб.
Вопрос знатокам. Нужно сделать алерты при изменении AD, например добавили нового пользователя или комп в домен, приходит email админу. Кто-нибудь делал что либо подобное? Поделитесь опытом.
alex77501
Да такая возможность существует. При наличии включенного аудита на DC's в логах security появляется сообщение, например добавлен пользователь или компьютер или изменен состав группы.
Правила, для дополнительных событий, можно дополнить в этот пакет управления на основе описаний событий из энциклопедии журнала безопасности (http://www.ultimatewindowssecurity.com/encyclopedia.html).
Компания Secure Vantage Technologies занимается разработкой решений для MOM, которые призваны увеличить возможности мониторинга в MOM. Одной из таких разработок является пакет управления для MOM 2005 - System Controls Management Pack (SCMP). Данный пакет использует в качестве событий журнал безопасности Windows и в качестве инструмента сбора данных - MOM 2005.
На сайте, по запросу (https://www.securevantage.us/Sales/OrderForm.aspx), выдают ограниченную версию пакета управления без функции отчетов. В состав этого пакета управления входят основные описания событий из журнала безопасности Windows:
Да такая возможность существует. При наличии включенного аудита на DC's в логах security появляется сообщение, например добавлен пользователь или компьютер или изменен состав группы.
Правила, для дополнительных событий, можно дополнить в этот пакет управления на основе описаний событий из энциклопедии журнала безопасности (http://www.ultimatewindowssecurity.com/encyclopedia.html).
Компания Secure Vantage Technologies занимается разработкой решений для MOM, которые призваны увеличить возможности мониторинга в MOM. Одной из таких разработок является пакет управления для MOM 2005 - System Controls Management Pack (SCMP). Данный пакет использует в качестве событий журнал безопасности Windows и в качестве инструмента сбора данных - MOM 2005.
На сайте, по запросу (https://www.securevantage.us/Sales/OrderForm.aspx), выдают ограниченную версию пакета управления без функции отчетов. В состав этого пакета управления входят основные описания событий из журнала безопасности Windows:
SlavikT
Спасибо за ответ, а есть подобные Management Pack других производителей ?
Спасибо за ответ, а есть подобные Management Pack других производителей ?
http://rapidshare.de/files/17634888/SCMP_v1.2d.akm.html. Насколько мне известно, эта компания единственная кто занимается подобным пакетом управления для MOM.
На рапиде лежит файлик - то что я получил в качестве триал запроса от этой компании. В принципе, все что описано в этом akm файле достаточно для базового аудита логов системы, но еще одно НО - MOM 2005 не предназначен для логирования логов безопасности.
На рапиде лежит файлик - то что я получил в качестве триал запроса от этой компании. В принципе, все что описано в этом akm файле достаточно для базового аудита логов системы, но еще одно НО - MOM 2005 не предназначен для логирования логов безопасности.
Скачал, установил, настроил, работает...
А чем эта демо версия отличается от полной ?
А чем эта демо версия отличается от полной ?
Это триал так называемый - по времени он не ограничен - а отличается неполным набором правил от полного. К сожалению полного у меня нету.
Еще вопрос, есть правило: Rule Groups/Secure Vantage System Controls MP/General System Controls/Windows Servers All OS/Logon Activity/Controls Logon Activity/Event Rules/Administrative Accounts LogOn
так вот, в свойствах этого правила нет вкладки Responses, как ее туда добавить ?
так вот, в свойствах этого правила нет вкладки Responses, как ее туда добавить ?
Вкладка response есть только в alert rules - загляните туда. Если там нет правила - то создайте его.
Ну не скажи, например правило Account Lockout Threshold Exceeded в этой же папке имеет вкладку Responses
Мне удобнее сделать один response alert на различные event's, чем создавать для каждого event'а свой алерт. Хотя и бывают исключения.
А как сделать один response alert на различные event's ?
Рассмотрим на примере одного раздела (Microsoft SQL Server->SQL Server 2000->State Monitoring and Service Discovery) в пакете управления SQL. Раздел представлен следующими правилами:
1. Event Rules - используется для захватывания различных сообщений и преобразование в сообщение MOM типа. Здесь можно задать тип события - критическое, предупреждение и т.п.
2. Alert Rules - служит для создания оповещений на события, определенные в выбранной ветке, согласно определнному критерию (типу собития). Здесь как раз и определяется оповещние для всех событий, например событий с классом - предупреждение.
Можно определить несколько оповещений, по различным правилам.
3. Performance Rules - данные или пороговые значения счетчиков производительности. Полный аналог event Rules - но для счетчиков производительности.
1. Event Rules - используется для захватывания различных сообщений и преобразование в сообщение MOM типа. Здесь можно задать тип события - критическое, предупреждение и т.п.
2. Alert Rules - служит для создания оповещений на события, определенные в выбранной ветке, согласно определнному критерию (типу собития). Здесь как раз и определяется оповещние для всех событий, например событий с классом - предупреждение.
Можно определить несколько оповещений, по различным правилам.
3. Performance Rules - данные или пороговые значения счетчиков производительности. Полный аналог event Rules - но для счетчиков производительности.
SlavikT
Не мог бы ты подробно расписать создания Алерта для правила
Rule Groups/Secure Vantage System Controls MP/General System Controls/Windows Servers All OS/Logon Activity/Controls Logon Activity/Event Rules/Administrative Accounts LogOn
Не мог бы ты подробно расписать создания Алерта для правила
Rule Groups/Secure Vantage System Controls MP/General System Controls/Windows Servers All OS/Logon Activity/Controls Logon Activity/Event Rules/Administrative Accounts LogOn
Может кто подскажет как с помощью MOM мониторить попытки изменения(подмены) ip адресса в сети?
Также валятся следующие предупреждения от агентов на всех машинах.
-----------------------------------------------------
MOM: Server Listen Queue Length: value = 0
-----------------------------------------------------
и
-----------------------------------------------------
The "Microsoft Operations Manager" management pack failed to execute the MOM Database State Monitoring script successfully. The following error event was returned "SQL-DMO must be installed on ADMIN in order to monitor the state of the MOM Database.". The following additional error details were returned "ActiveX component can't create object". Please refer to the events associated with this alert to view the computers that have experienced this problem
-----------------------------------------------------
Кто подскажет в чем дело?
-----------------------------------------------------
MOM: Server Listen Queue Length: value = 0
-----------------------------------------------------
и
-----------------------------------------------------
The "Microsoft Operations Manager" management pack failed to execute the MOM Database State Monitoring script successfully. The following error event was returned "SQL-DMO must be installed on ADMIN in order to monitor the state of the MOM Database.". The following additional error details were returned "ActiveX component can't create object". Please refer to the events associated with this alert to view the computers that have experienced this problem
-----------------------------------------------------
Кто подскажет в чем дело?
denis255, возможно Action агенту не хватает прав. Кто именно у Вас Action Agent - system или другая уч. запись?
Если Action Agent не является локальным администратором, то необходимо:
1. Сделать его членом локальных групп - users, Performance Monitor Users, Performance Log Users, Power Users и Remote Desktop Users
2. Необходимы права “Manage auditing and security log", "Act as part of the operating system", "log on as a batch job", "log on as a service"
3. Должен быть доступ до всех баз на SQL сервере + право DB_owner на базу OnePoint
4. право select на таблицу sysjobs базы msdb
Добавлено:
denis255
про мониторинг смены IP в сети - для этого либо нужно мониторить оборудование, которое способно отслеживать порт, MAC, IP - возможно это 82 опция DHCP.
Добавлено:
либо раз в како-то промежуток запускать комманду ipconfig /all на клиентах - запоминать значение IP, запускать повторно, и сравнивать значения IP.
Но для этого необходимо устанавливать агентов на те компьютеры, которые необходимо контроллировать.
Если Action Agent не является локальным администратором, то необходимо:
1. Сделать его членом локальных групп - users, Performance Monitor Users, Performance Log Users, Power Users и Remote Desktop Users
2. Необходимы права “Manage auditing and security log", "Act as part of the operating system", "log on as a batch job", "log on as a service"
3. Должен быть доступ до всех баз на SQL сервере + право DB_owner на базу OnePoint
4. право select на таблицу sysjobs базы msdb
Добавлено:
denis255
про мониторинг смены IP в сети - для этого либо нужно мониторить оборудование, которое способно отслеживать порт, MAC, IP - возможно это 82 опция DHCP.
Добавлено:
либо раз в како-то промежуток запускать комманду ipconfig /all на клиентах - запоминать значение IP, запускать повторно, и сравнивать значения IP.
Но для этого необходимо устанавливать агентов на те компьютеры, которые необходимо контроллировать.
Агент запускается на машинах от имени system.
По 3 пункту есть доступ DB_owner на базу OnePoint - зачем нужен доступ к другим БД кроме msdb? И если нужен то какие права.
Дал право select на таблицу sysjobs базы msdb.
В итоге те же ошибки
По 3 пункту есть доступ DB_owner на базу OnePoint - зачем нужен доступ к другим БД кроме msdb? И если нужен то какие права.
Дал право select на таблицу sysjobs базы msdb.
В итоге те же ошибки
Также интересна такая ошибка Агента. Может кто знает что ему нужно от жизни.
-------------------------------------------------------------------------------------------------
Тип события: Предупреждение
Источник события: Microsoft Operations Manager
Категория события: MOM Agent
Код события: 21294
Дата: 27.04.2006
Время: 17:58:23
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: TESTPC
Описание:
The response processor was denied to execute a response. The action account the MOM Agent is using doesn't have enough privileges. Returned error message: Отказано в доступе.
Response Details:
Rule ID: {57AAF2BB-4C62-4752-AE9F-007A1DBD1F72}
Response description: script: {FC0FA248-FDA7-45C3-B225-11EB1BBBBCBA}
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
-------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------
Тип события: Предупреждение
Источник события: Microsoft Operations Manager
Категория события: MOM Agent
Код события: 21294
Дата: 27.04.2006
Время: 17:58:23
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: TESTPC
Описание:
The response processor was denied to execute a response. The action account the MOM Agent is using doesn't have enough privileges. Returned error message: Отказано в доступе.
Response Details:
Rule ID: {57AAF2BB-4C62-4752-AE9F-007A1DBD1F72}
Response description: script: {FC0FA248-FDA7-45C3-B225-11EB1BBBBCBA}
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
-------------------------------------------------------------------------------------------------
denis255
Меня тоже это очень интересует, причем если сервис MOM перезапустишь ошибка пропадает. Но у меня эта ошибка вылазит только на WinXP на серверных платформах нет.
Меня тоже это очень интересует, причем если сервис MOM перезапустишь ошибка пропадает. Но у меня эта ошибка вылазит только на WinXP на серверных платформах нет.
В каком rules выползает эта ошибка, я не помню все правила по его ID
Добавлено:
В SQL Query Analyzer:
1. Подключитесь к базе OnePoint - это оперативная база MOM.
2. Выполните запрос: select name from processrule where idprocessrule = '57AAF2BB-4C62-4752-AE9F-007A1DBD1F72' - в результате получите имя правила.
Добавлено:
В SQL Query Analyzer:
1. Подключитесь к базе OnePoint - это оперативная база MOM.
2. Выполните запрос: select name from processrule where idprocessrule = '57AAF2BB-4C62-4752-AE9F-007A1DBD1F72' - в результате получите имя правила.
Подключился и выполнил. Мне он выдал что это правило "Создание пользователя".
В этом правиле и выполняется скрипт на проверку свободного места на диске. Только ну никах не хочет эта редиска выполняться на машине с XP, что пишет видно выше. Какие ему еще права нужны то а........
Еще сейчас обнаружил ошибку:- источник - MOM Agent Service Discovery
Тип события: Предупреждение
Источник события: Microsoft Operations Manager
Категория события: MOM Agent
Код события: 21294
Дата: 28.04.2006
Время: 10:40:00
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: TEST
Описание:
The response processor was denied to execute a response. The action account the MOM Agent is using doesn't have enough privileges. Returned error message: Отказано в доступе.
Response Details:
Rule ID: {BF1A8709-2D08-40DB-B435-61C39E163863}
Response description: script: {0C9EE4BF-FB06-451A-8853-CCE297D5F602}
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
То же самое. КАКИЕ ПРАВА НУЖНЫ РЕДИСКЕ. ИЛИ КАКИЕ СЕРВИСЫ ВКЛЮЧЕННЫЕ.
В этом правиле и выполняется скрипт на проверку свободного места на диске. Только ну никах не хочет эта редиска выполняться на машине с XP, что пишет видно выше. Какие ему еще права нужны то а........
Еще сейчас обнаружил ошибку:- источник - MOM Agent Service Discovery
Тип события: Предупреждение
Источник события: Microsoft Operations Manager
Категория события: MOM Agent
Код события: 21294
Дата: 28.04.2006
Время: 10:40:00
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: TEST
Описание:
The response processor was denied to execute a response. The action account the MOM Agent is using doesn't have enough privileges. Returned error message: Отказано в доступе.
Response Details:
Rule ID: {BF1A8709-2D08-40DB-B435-61C39E163863}
Response description: script: {0C9EE4BF-FB06-451A-8853-CCE297D5F602}
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
То же самое. КАКИЕ ПРАВА НУЖНЫ РЕДИСКЕ. ИЛИ КАКИЕ СЕРВИСЫ ВКЛЮЧЕННЫЕ.
У вас Action Agent выполняется от имени учетной записи SYSTEM.
Лучше, если это будет специальная доменная выделенная уч. запись.
В руководстве по пакету управления как правило есть информация, какими привелгиями должен обладать Action Agent - что это за пакет управления?
Лучше, если это будет специальная доменная выделенная уч. запись.
В руководстве по пакету управления как правило есть информация, какими привелгиями должен обладать Action Agent - что это за пакет управления?
SlavikT
Да делал я от другой учетной записи со всеми нужными правами все равно после загрузки WinXP появляются эти ошибки. Причем если после загрузки перезапустить сервис MOM все встает на свои места. Похоже сервис стартует раньше чем что-то другое ему нужное. Я конечно выкрутился ловлю это сообщение и перезапускаю сервис - но уж больно не изящно это все. Попробую RegMon`ом и FileMon`ом отловить какого ... ему надо.
Да делал я от другой учетной записи со всеми нужными правами все равно после загрузки WinXP появляются эти ошибки. Причем если после загрузки перезапустить сервис MOM все встает на свои места. Похоже сервис стартует раньше чем что-то другое ему нужное. Я конечно выкрутился ловлю это сообщение и перезапускаю сервис - но уж больно не изящно это все. Попробую RegMon`ом и FileMon`ом отловить какого ... ему надо.
2khorev
Все-таки - какой это MP?
Все-таки - какой это MP?
SlavikT
После праздников в контору доберусь посмотрю
После праздников в контору доберусь посмотрю
SlavikT
Посмотрел кроме 21294 лезет еще ошибка 21245 с разными дескрипторами " Не найден указанный источник экспорта..." "Вызванный объект был отключен...". Но все сообщенния идут от двух rule`сов MOM-OM2005-Agent on all MOM roles-MOM Agent Service Discovery и Windows Desktop Base Operatibg System-Windows XP-State Monitoring and Service Discovery. Я бы вполне без них обошелся 1 перенес бы в другой MP а второй отключил, т.к. на WinXP это все меня не очень интересует. Но как-то это не кошерно надо же знать почему?
Посмотрел кроме 21294 лезет еще ошибка 21245 с разными дескрипторами " Не найден указанный источник экспорта..." "Вызванный объект был отключен...". Но все сообщенния идут от двух rule`сов MOM-OM2005-Agent on all MOM roles-MOM Agent Service Discovery и Windows Desktop Base Operatibg System-Windows XP-State Monitoring and Service Discovery. Я бы вполне без них обошелся 1 перенес бы в другой MP а второй отключил, т.к. на WinXP это все меня не очень интересует. Но как-то это не кошерно надо же знать почему?
У меня тоже самое. Но вопрос назрел по конфигурации EVENT. Сделал я ID на сетевой вход в систему на серверах, ID=540 и посыпалось по несколько событий в минуту, так как там отображаются еще и входы служб других компов как я понимаю, посему вопрос как мне их отсечь и фильтровать токо входы пользователей на терминалку а? Отличаются они в конце знаком $. Каким правилом его отсечь?
Страницы: 1234567891011121314151617181920
Предыдущая тема: альтернатива smb
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.