前几天，上方提出了一个需求：安全审计。

简单说一点儿，就是需要能够知道哪个账号再哪台SRV上登录过，哪个账号创建了账号的，以及什么账号删除啊，密码修改啊，等等事件的收集。

有人可能会说，这些要求实现起来很简单啊，在DC上把审核的组策略一开启，就OK了，DC上会自动收集的，到时候查看即可。

的确，这样做，DC是可以收集这些事件的记录，但是，查看和检索起来，方便嘛？信息量少还好说，大了呢？我可亲眼看见一台DC就这样小小的检索了一下ID为4672的全部事件，就立刻死掉的。自然，是这个查询界面死掉了，DC不至于就此死掉。（俺的DC没差劲儿到系统也能死掉的地步。）

每一种产品的出现，必然有它的市场。SCOM的审核收集服务就良好的支持了这样的一个需求。scom也算博大精深吧，我可还没有什么地方都掌握，只是领导提了这样一句，我就针对这一点开始了解scom的这项功能并尽力的将需求解决。

通过市场需求来研究产品，掌握它，发挥它的作用，和自己的才能。

由于公司目前使用的是scom2007，为了配合环境，砍了之前的scom2007r2，重新搭建了scom2007的环境，主要监控一下DC,SQL和一台XP。呵呵。

（不知道有没有朋友做过07升级到R2的项目，我听说是不好搞的，有经验的还请支援一下哦。）

在2007下测试了一番，不过，环境被自己搞乱了。哈哈。也没有及时写报告，所以，又重新搭建了scom2007r2的环境，这次只用了3台win2k8的服务器，一台DC，一台SCOM，一台SQL。

scom搭建的过程就不写了，因为网上大把。照着搭建就行了。其实，这次测试的过程中，个人发现，还是直接去看平台自带的帮助文档或者是ms网站上的library也是一件不错的事情。

 

  

  

  

 

 

 

 

 

 

 

 

 

 进入Audit Reports

 

 进入DB Audit

 

接下来，我们需要启用及启动scom的审核收集服务。

我们先找到监控面板下的，选择operations managerà代理à代理运行状况状态，如下图所示：

 

在代理状态一栏中，选择所要收集信息的服务器，并选择右侧的“启用审核收集”，并执行启用。

 

 

 

我们首先来启动账户管理的审核策略。

 不过，这只是对ACS这一项功能的实现做了一个初步的测试而已。

当我们搭建完毕，并通过一些设置得到一些结果之后，便会发现，对于安全审计的工作，还需要进一步的处理。scom只是一个基本数据的收集，但是，我们不可能仅仅将报表导出就OK了的。我们还需要针对不同的报表进行综合的处理。这样才能得到我们审计的目的。scom的报表，只是让我们有据可循罢了。

做管理，千万不能仅仅依靠一个管理平台。我们还需要有后续工作跟进，才能更好的发挥平台的作用。

     本文转自dennisxinyu 51CTO博客，原文链接：http://blog.51cto.com/dennisxinyu/605420，如需转载请自行联系原作者