ACS (Audit Collection Services)

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 12:35, 28 июня 2016.

Audit Collection Services (ACS) предоставляет средства для сбора записей, созданных с помощью политики аудита и их хранения в централизованной базе данных. Используя ACS, организации могут консолидировать отдельные журналы безопасности в централизованно управляемой базе данных и могут фильтровать и анализировать события с помощью инструментов, предоставляемых Microsoft SQL Server.

Описание

 Аудит Collection Services (ACS) требует взаимной аутентификации между сборщиком ACS и каждым отправителем. По умолчанию используется аутентификация Windows, которая использует протокол Kerberos. После завершения аутентификации, все передачи данных между ACS сборщиков и отправителей шифруются. Нет необходимости активировать дополнительное шифрование между отправителями и сборщиком ACS, если они не принадлежат к разным подгруппам Active Directory, между которыми не установлено доверие.

По умолчанию, данные не шифруются между сборщиком ACS и базой данных. Если организация требует более высокого уровня безопасности, можно использовать Secure Sockets Layer (SSL) или Transport Layer Security (TLS) для шифрования связи между этими компонентами. Чтобы включить SSL шифрование между базой данных ACS и сборщиком ACS, необходимо установить сертификат на сервере базы данных и компьютере, на котором размещается служба сбора ACS. После того, как установлены эти сертификаты, необходимо настроить клиент SQL на сборщике ACS.

Память сборщика ACS используется для кэширования ACS событий, которые должны быть записаны в базу данных ACS. Объем памяти, необходимый сборщику, ACS может варьироваться в зависимости от количества подключенных серверов пересылки ACS и количества событий, создаваемых политикой аудита.

Счетчик производительности отображает информацию о событиях, которые происходят на конкретном отправителе ACS. Счетчик производительности устанавливается на сборщике ACS. Если несколько отправителей ACS подключены к сборщику ACS, отображаются несколько счетчиков. В больших средах с более чем 100 серверов пересылки ACS, подключенных к сборщику ACS, счетчик производительности по умолчанию отображает статистику отправителем ACS с максимальными значениями приоритета. ACS отправителям, имеющим наибольшее количество событий аудита, назначаются более высокие значения приоритета для обеспечения их приоритета над ACS отправителями с меньшим количеством событий.

Компоненты

Сборщик ACS

Сборщик ACS принимает и обрабатывает данные событий от серверов пересылки ACS и затем отправляет эти данные в базу данных ACS. Этот процесс включает в себя декомпозицию данных, чтобы их можно было распределить по нескольким таблицам в базе данных ACS, минимизировать избыточность данных и применить фильтры, чтобы лишние события не добавлялись в базу данных ACS. Число серверов пересылки ACS, поддерживаемых одним сборщиком ACS и базой данных ACS, зависит от следующих факторов:

  1. число событий, формируемых политикой аудита;
  2. роль компьютеров, отслеживаемых серверами пересылки ACS (например, контроллер домена или рядовой сервер);
  3. уровень активности на компьютере;
  4. оборудование, на котором работает сборщик ACS и база данных ACS.

Если данная среда содержит слишком много серверов пересылки ACS для одного сборщика ACS, можно установить несколько сборщиков ACS. У каждого сборщика ACS должна быть собственная база данных ACS.

База данных

База данных ACS – это центральный репозиторий для данных событий, формируемых политикой аудита в рамках развертывания служб ACS. База данных ACS может размещаться на одном компьютере со сборщиком ACS, но ради повышения производительности каждый из этих компонентов следует устанавливать на отдельном сервере.

Счетчики производительности

  1. Подключенные клиенты - количество серверов пересылки ACS, в данный момент подключенных к сборщику ACS.
  2. Степень заполнения очереди базы данных в % - отношение числа событий, находящихся в данный момент в очереди загрузчика базы данных ACS, к максимальному числу запросов в очереди загрузчика базы данных. Это отношение выражается в процентах.
  3. Длина очереди базы данных - число событий, находящихся в данный момент в очереди загрузчика базы данных.
  4. Вставок событий загрузчика БД/с - среднее число записей, добавляемых за одну секунду в таблицу dtEvent в базе данных ACS, которая содержит записи о событиях.
  5. Вставок участников загрузчика БД/с - среднее число записей, добавляемых за одну секунду в таблицу dtPrincipal в базе данных ACS, которая содержит сведения об учетных записях пользователей и компьютеров, обладающих доступом к компонентам служб ACS.
  6. Вставок строк загрузчика БД/с - среднее число записей, добавляемых за одну секунду в таблицу dtString в базе данных ACS.
  7. Попаданий кэша участников БД % - процент всех запросов обработки, которые обрабатываются кэшем участника, а не таблицей dtPrincipal в базе данных ACS.
  8. Длина очереди запросов БД - число запросов от сборщика ACS, которые в данный момент ожидают обработки базой данных ACS. Эти запросы используются при подтверждении сервера пересылки и обслуживании базы данных. Они не являются частью обычной обработки событий.
  9. Попаданий кэша строк БД % - процент всех запросов обработки, которые обрабатываются кэшем строк, т.е. без поиска в таблице dtString в базе данных ACS.
  10. Время события в сборщике в миллисекундах - количество времени в миллисекундах с момента поступления события к сборщику ACS до вставки в очереди базы данных ACS.
  11. Входящих событий/с - общее число событий, поступающих за одну секунду к сборщику от всех подключенных серверов пересылки ACS.
  12. Добавлений аудита интерфейса/с - число записей о событиях, которые сборщик за одну секунду отправляет инструментарию управления Windows (WMI) для пересылки приложению вне служб ACS.
  13. Длина очереди интерфейса - среднее число запросов, ожидающих ресурсов инструментария WMI.
  14. Зарегистрированные запросы - общее число запросов на подписку, полученных инструментарием WMI для событий служб ACS с момента последнего запуска службы сборщика ACS.

Ссылки

  1. Technet
  2. Technet