System Center Operation Manager 2012 R2 / 2016 Event Rule Oluşturma
System Center Operation Manager uygulamamız ile bir çok şeyi monitör edebiliyoruz. Bir çok firma ya da kurumda SCOM ürünü ile BT altyapılarını uçtan uca monitor edebilmek için SCOM ürününü kullanmakta. Bizler bu makalemizde Active Directory üzerinde kullanıcıların şifre kilitlenmelerinin olduğu durumlarının takibini ile birlikte bu kullanıcımızın nerede ya da hangi bilgisayar üzerinde kilitlendiğini izleyeceğiz. Bunun için bilmemiz gereken en önemli bilgilerden biri Kullanıcı şifresi kilitlendiğinde oluşacak olan Event ID. Çünkü bizler kullanıcı şifresi kilitlendiğinde oluşan Event Id numarasını monitör edeceğiz.
Microsoft Event Viewer altında oluşan Security Event
Kategorisi : User Account Manager
Event ID : 4740
Olarak oluştuğunu yukarıdaki resimde görüyoruz.
Peki oluşan Event Id bilgilerinide öğrendiğimize göre artık SCOM uygulamamız üzerinde gerekli adımlara başlayalım.
Kural oluşturmak için öncelikle Authoring başlığı altında Management Pack Object altında Rules üzerinde sağ klik yapacağız ve Create a new rule… seçimini gerçekleştireceğiz.
Gelen ekranda Collection Rules – Event Based – NT Event Log seçimini yapıyoruz ve hangi management packi kullanacak ise o management packi seçerek Next ile ilerliyoruz.
Rule Name kısmına tanımlayıcı bir kural adı giriyoruz. Rule Target kısmında ise hangi sunucu gurubu takip edilecek ise o computer grubunu hedef olarak gösteriyoruz.Aslında buradaki Rule Target kısmı önemlidir.İsterseniz custom bir grup oluşturup hedef olarak o grubu gösterebilirsiniz.
Bizi karşılayan bu ekranımızda ise Log Name olarak security grubunu seçiyoruz.Çünkü makalemizin ilk başında da belirttiğimiz gibi User Account Control bir security logudur.
Bu ekranımızda ise filtreleme yapacağımız ekranımız. İsterseniz yukarıdaki resimdede görüldüğü gibi Add seçimi yaparak daha fazla filtreleme alanları ekleyebiliriz. Ben burada oluşacak olan Event Id numarasını 4740 olarak tanımladım. Çünkü Kullanıcı şifresini kilitlediğinde Event Viewer altında oluşacak olan Event Id 4740 olarak düşecektir. Create seçimini yaparak artık kural tanımını bitiriyorum.
Görüldüğü gibi son adımdan sonra Rules altında benim isimlendirdiğim ve oluşturduğum User Account Control isimli kural oluşmuş durumda ve hedef olarak gösterdiğim sunucuları monitor edilmeye başlanmış durumda.
Yukarıdaki resimde de görüldüğü üzere hesabın kilitlenmesi durumunda DC01 isimli sunucu üzerinde User Account Lock olmuş ve 4740 numaralı event oluşmuş ve bizlerde SCOM uygulaması üzerinde oluşturduğumuz rule sayesinde alert rule olarak almış bulunmaktayız.
Bir sonraki makalemizde bu rule üzerinde custom attributeler oluşturup System Center Orchestrator ile bütünleştireceğiz.
Eline sağlık hocam.