SCCM (System Center Configuration Manager) üzerinde uygulamaların yanlışlıkla ya da yetkisiz kişiler tarafından silinmesi önemli bir sorun olabilir. Neyse ki, SCCM’de bu tür işlemleri takip edebilmek için güçlü denetim mekanizmaları bulunmaktadır. Bu yazıda, SCCM’de silinen uygulamaları takip etmenin adımlarını, hangi raporların kullanılacağını ve en iyi uygulamaları detaylı bir şekilde anlatacağım.
Denetim İzleme Neden Önemlidir?
SCCM yönetiminde, uygulamaların hatalı bir şekilde silinmesi veya izinsiz işlemler büyük sorunlar yaratabilir. Bu nedenle, kimlerin hangi işlemleri yaptığını takip etmek, (Uygulama dağıtımlarını kimin oluşturduğunu,değiştirdiğini ve sildiğini) sorunları hızlıca çözebilmek adına kritik önem taşır. SCCM’de yerleşik olarak gelen denetim özellikleri sayesinde, uygulamaların silinmesi gibi olaylar anında takip edilebilir ve raporlanabilir. Bu denetim, güvenliği artırırken operasyonel süreçleri de iyileştirir.
SCCM’de Audit Özelliklerinin Etkinleştirilmesi
SCCM, yapılan tüm işlemleri denetleyebileceğiniz bir Audit (Denetim) özelliğine sahiptir. Bu özellik etkinleştirildiğinde, sistemde yapılan tüm değişiklikler kayıt altına alınır ve kimin, ne zaman, hangi işlemi gerçekleştirdiğini görebilirsiniz. Burada SCCM konsolunda yapılan her türlü işlemi görebileceğiniz gibi, uygulama silme işlemleri de listelenir.
Monitoring\Overview\System Status\Status Message Queries yolunu takip edin.
Monitoring\Overview\System Status\Status Message Queries\ Create Status Message Query sekmesinden yeni bir sorgu oluşturulur.
Genaral kısmında Sorgumuz için yeni bir isimlendirme yapılır ve Edit Query Statement ile Query oluşturma işlemlerine başlanır.
SCCM Durum Mesajı Sorguları Oluşturmak için aşağıdaki WQL sorgusunu yazmamız gerekmektedir.
select SMS_StatusMessage.*, SMS_StatMsgInsStrings.*, SMS_StatMsgAttributes.* from SMS_StatusMessage left join SMS_StatMsgInsStrings on SMS_StatMsgInsStrings.RecordID = SMS_StatusMessage.RecordID left join SMS_StatMsgAttributes on SMS_StatMsgAttributes.RecordID = SMS_StatusMessage.RecordID where SMS_StatusMessage.MessageID = 30154 and att2.AttributeTime >= ##PRM:SMS_StatMsgAttributes.AttributeTime## order by att1.AttributeTime DESCNext ile devam edilir.
SCCM (Configuration Manager) uygulama silme işlemleri sadece uygulama modeli üzerinden değil, aynı zamanda Yapılandırma Öğeleri (CI) oluşturma ve silme işlemleri ile de izlenmelidir. Yazılım güncelleme grupları ve temel yapılandırma öğeleri gibi iş yükleri de bu sürece dahildir. SCCM denetim mesajlarını izlemek için, Durum Mesajı Kimliği kullanılır ve mesajdaki CI_UniqueID ve Application_ girdileri kullanılarak uygulama silme işlemlerini ayırabilirsiniz.
SCCM’den uygulamayı kimin sildiğini kontrol edebiliriz artık. Show Messages tıklanır.
İstenen değer listesindeki gün tarih saat dilimlerini ayarlayabilirsiniz. Örneğimiz de 12 saat seçilmiş ve Next ile devam edilir.
SCCM’de uygulamayı kimin sildiğini mesajda yer almaktadır.
Aynı işlemleri SQL Sorgusu oluşturarak da kontrol edebiliriz. Bunun için aşağıda yer alan SQL Sorgularını kullanabiliriz.
/* 'Who deleted the application'*/
select * from vStatusMessagesWithStrings where MessageID = 30154 and InsStrValue3 like '%Application%'
Uygulama Dağıtımını Kim Oluşturduğunu Öğrenmek İçin SQL Sorgusu aşağıda yer almaktadır.
/* Who created a deployment of application*/
select * from vStatusMessagesWithStrings where MessageID = 30226Uygulama Dağıtımını Kim Değiştirdi Öğrenmek İçin SQL Sorgusu aşağıda yer almaktadır.
/* Who modified the deployment of application*/
select * from vStatusMessagesWithStrings where MessageID = 30227Uygulama Dağıtımını Kim Sildiğini Öğrenmek İçin SQL Sorgusu aşağıda yer almaktadır.
/* 'Who deleted the deployment of application'*/
select * from vStatusMessagesWithStrings where MessageID = 30228SCCM, sadece uygulama silme işlemlerini değil, aynı zamanda yapılandırma öğeleri, yazılım güncellemeleri gibi kritik bileşenlerde yapılan değişiklikleri de izleyebilir. Her bir bileşen, kendine özgü denetim mesajlarına sahiptir ve SCCM’de bu mesajları izleyerek kimin hangi değişiklikleri yaptığını görebilirsiniz.
Bu bilgilerin faydalı olması dileğiyle…