SCOM 2012 SP1---安装并配置审核收集服务

1、安装审核收集服务首先运行SCOM 2012的安装程序，在安装界面选择“审核收集服务”如图所示。

进入审核收集服务安装向导，选择“下一步”，如图。

接受许可协议，如图。

在数据库安装选项页面，选择“创建新数据库”，如图。

在数据源页面，输入数据源的名称，这里名称保持默认，如图。备注：ACS会将收集的事件数据存储在SQL数据库中，要与数据库通信，ACS收集器使用ODBC数据源名称。

在数据库页面，选择使用“本地运行的数据库服务器”，如图。

在数据库身份验证页面，选择的连接方式为“Windows身份验证”，如图。

在数据库创建选项页面，选择“使用SQL Server的默认数据和日志文件目录”，如图。

在事件保留计划界面，保持默认，如图。这个界面可以配置两个内容：执行日常数据库维护的本地时间和事件在数据库中保留的天数。

ACS存储时间戳的格式为“本地”，即数据库中的时间戳将按数据库服务器上的本地时间存储，如图。

在摘要界面，确认配置没有问题后，选择“下一步”，如图。

开始安装ACS，如图。安装过程中，会弹出SQL Server 登录界面，直接点击确定即可。

等待片刻后，部署完成，但是我们发现在“启动AdtServer服务”时失败：

之所以会出现此问题，因为 AcsConfig.xml 文件具有该只读属性集。如果操作管理器审核收集服务 (AdtServer.exe）不能写入此文件，操作管理器审核收集服务无法启动。
注意AscConfig.xml 文件位于以下文件夹：%systemroot%\System32\Security\AdtServer解决方法：如果安装审核收集服务器，则清除在只读 AscConfig.xml 文件，然后开始操作管理器审核收集服务的属性。若要这样做，请按照下列步骤操作：1.单击开始，单击运行，键入 %systemroot%\system32\security\adtserver，然后单击确定。2.用鼠标右键单击 AcsConfig.xml，然后单击属性。3.在常规选项卡上单击以清除在只读复选框，然后单击确定。4.单击开始、单击运行，键入 cmd，然后单击确定。5.命令提示符键入下面的命令，然后按 ENTER 键：net start adtserver

再次重新更新审核收集服务，即可完成：

打开本地的服务管理器，可以看到相关的服务，如图。

连接到SQL Server服务器，可以看到ACS的数据库，如图。

2、推送Windows监控代理像SCCM一样，对要管理的计算机需要远程安装代理软件。我们以win2012-1.a.com这台DC服务器为例，来看看如何推送安装Windows平台的监控代理。不管是Windows服务器还是Linux服务器，如果希望进行精确的监控，都需要安装SCOM2012的监控代理，在安装完成代理之后，才能进行更深入的配置，例如启用ACS。首先我使用SCOM的管理帐户登录SCOM控制台，依次定位到“管理”——“设备管理”——“代理管理”，右击代理管理，选择“发现向导”，如图。

选择管理的设备类型为“Windows计算机”，如图。

选择“高级发现”，计算机和设备类为“服务器和客户端”，管理服务器为“win2012-2.a.com”，如图。

在发现方法界面，选择“浏览或者输入计算机名称”的方式，如图。

这里我要为win2012-1.a.com安装监控代理，所以浏览选择这台服务器，如图。

在管理员帐户界面，保持默认“使用选择的管理服务器操作帐户”，如图。

在发现结果界面，勾选已经发现的计算机设备，如图。

在摘要界面，代理安装目录和代理操作帐户保持默认，然后点击“完成”，如图。

正在启动代理安装任务，如图。

代理安装成功，如图。

下面我们到win2012-1.a.com这台服务器检查一下，是否安装已成功，在任务管理器的进程里，可以看到有一个Healthservice.exe的进程，如图。

打开win2012-1.a.com的服务管理器，也可以看到相关服务，如图。

回到SCOM 2012的控制台，过一段时间后，可以看到已经安装成功的代理，如图。

3、启用审核收集（ACS）接下来我们要为已经安装监控代理的服务器启用ACS转发功能。首先打开Operations Manager操作控制台，切换到“监视”界面，依次定位到“Operations Manager”—“代理详细信息”—“按版本列出的代理”，在右边的操作窗格中选择“启用审核收集”，如图。

勾选win2012-1.a.com，为这台服务器启用审核收集，选择下图中的“替代”按钮，如图。

在替代的编辑界面，输入新值：win2012-2.a.com，点击“替代”，如图。

回到启用审核收集界面，点击“运行”，如图。

稍等片刻后，启用审核收集成功，如图。

4、部署审核收集报告接下来我们来看看如何配置审核收集报告。部署审核收集报告时，需要使用SCOM 2012安装光盘中D:\ReportModels\acs文件夹。首先，我把安装光盘中的ACS文件夹拷贝到E盘下面，备用，如图。可以看到在ACS目录下有一个uploadauditreports命令脚本，一会我们要使用该脚本。

在配置审核收集报告之前，我们先来检查一下SQL Server Report的配置，确保配置正确并能正常访问现有的报告服务。确保报表服务器的状态是正在运行的状态，如图。

确保配置了正确的服务帐户和执行帐户，如图。





查看现有Web服务的URL，确保能够正常访问，如图。

报表URL可以正常访问，如图。

然后我们使用下图中的命令来更新审计报告，如图。备注：下图中“win2012-2”是SQL的实例名称，因为我是本地SQL，所以直接输入名称，如果是远程SQL，应该使用“服务器名/实例名”的形式。另外http://win2012-2.a.com:80/reportserver是现有的报表WEB服务的URL地址。下图的完整命令为：UploadAuditReportsNaNd win2012-2 http://win2012-2.a.com:80/reportserver e:\acs

更新完成后，我们再次打开SQL Server Reporting Services配置管理器，可以看到报表管理器URL为http://WIN2012-2:80/reports

然后访问该URL，在弹出的界面，选择“Audit Reporter”，如图。

然后来到Audit Reports界面了，如图。

选择上图中的“DB_Audit”，选择“管理”，如下图。





然后再选择“测试连接”，如图。确保连接测试成功。

切换到“监视”—“Microsoft审核收集服务”—“转发器”—“状态视图”，确保MicrosoftsystemcenterACSForwarder工作是正常的，如图。

还可以打开“Forensic_All_Events_For_Specified_User”，如图：

在下图中输入Domain\User的内容，并设置开始结束日期，可以查看到特定用户的所有事件信息，如图。

结果如下图所示：