Microsoft System Center Operations Manager: настройка источника

Данное руководство описывает процесс настройки сбора событий Microsoft SCOM и их отправки в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь в выполнении следующих условий:

  • Сетевая доступность сервера СУБД источника по целевому порту и протоколу для каждой ноды кластера R-Vision SIEM.

  • Учетная запись в СУБД с правами на чтение базы данных OperationsManager.

Настройка СУБД MS SQL

События Microsoft SCOM записываются в представление RV_SCOM_ALERTS базы данных OperationsManager СУБД MS SQL. Для настройки сбора логов из базы данных необходимо к ней подключиться. Используйте для подключения специально созданную сервисную учетную запись (далее — УЗ).

Создание учетной записи в СУБД MS SQL

Чтобы создать сервисную УЗ, подключитесь к СУБД с правами администратора. Для этого выполните следующие действия в SQL Server Management Studio:

  1. Выберите New Login в контекстном меню для Security/Logins.

  2. Создайте сервисную учетную запись.

    microsoft scom mssql create account

  3. Предоставьте учетной записи права на чтение базы OperationsManager.

    microsoft scom mssql grant account[#create-view] === Создание представления в СУБД MS SQL

Создайте представление c названием RV_SCOM_ALERTS. Для этого:

  1. Выберите New View…​ в контекстном меню для OperationsManager/Views.

  2. В окне создания нового представления в строке запроса вставьте следующий SQL-запрос:

    SELECT          lt.LTValue AS name, ahistory.AlertId, rules.RuleName, alert.AlertName, alert.AlertDescription, ahistory.ResolutionState,alert.Severity, alert.Category, ahistory.Comments, ahistory.TimeModified, ahistory.ModifiedBy, ahistory.TimeAdded, alert.TimeResolved, alert.ResolvedBy, alert.AlertParams
FROM            dbo.AlertHistory AS ahistory INNER JOIN
                         dbo.Alert AS alert ON ahistory.AlertId = alert.AlertId INNER JOIN
                         dbo.Rules AS rules ON alert.RuleId = rules.RuleId INNER JOIN
                         dbo.LocalizedText AS lt ON lt.ElementName LIKE rules.RuleName + '%Message'
WHERE            lt.LTStringType = 1

    microsoft scom mssql create view

Настройка сервера MS SQL

В настройках SQL Server Configuration Manager убедитесь, что протокол TCP/IP включен в конфигурации сети SQL Server.

microsoft scom mssql listen tcp

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:

    1. Перейдите в раздел Ресурсы → Секреты.

    2. Нажмите на кнопку Создать (plus).

    3. В раскрывшемся окне создания секрета заполните поля:

      • Название: введите название секрета.

      • Описание (опционально): опишите, для чего будет использоваться секрет.

      • Тип секрета: выберите вариант Строка подключения.

      • Строка подключения: введите строку вида:

        jdbc:sqlserver://<DB_SERVER>\<DB_INSTANCE>:<DB_PORT>;encrypt=false;databaseName=OperationsManager;user=<DB_USER>;password=<DB_PASSWORD>

      • <DB_SERVER>: IP-адрес инстанса СУБД.

      • <DB_INSTANCE>: название инстанса СУБД.

      • <DB_PORT>: порт инстанса СУБД (для MS SQL стандартный порт 1433).

      • <DB_USER>: системный аккаунт с правами на чтение.

      • <DB_PASSWORD>: пароль системного аккаунта.

    4. Нажмите на кнопку Создать.

  2. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  3. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Database.

    • Драйвер базы данных: выберите вариант MS SQL.

    • Адрес подключения: выберите секрет, созданный ранее.

    • SQL-запрос: введите запрос вида:

      SELECT 'scom' AS appname, @@SERVERNAME as hostname, TimeAdded AS timer, * FROM OperationsManager.dbo.RV_SCOM_ALERTS WHERE TimeAdded > DATEADD(S, CONVERT(INT, ?)+1, '1970-01-01') ORDER BY TimeAdded ASC;
      При большом количестве событий в СУБД рекомендуется добавлять TOP 10000 в начало SQL-запроса.

    • Поле идентификатора: введите ключ timer со значением 1719588137.

    • Интервал запроса, секунд: введите значение 15.

  4. Добавьте на конвейер элемент Нормализатор с правилом Microsoft SCOM (идентификатор правила: RV-N-328).

  5. Соедините нормализатор с точкой входа.

  6. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  7. Соедините конечную точку с нормализатором.

  8. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

microsoft scom pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать уведомления консоли SCOM.

Найти события Microsoft SCOM в хранилище можно по следующему фильтру:

device_product = "scom"

microsoft scom search

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь