System Center Operations Manager: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий System Center Operations Manager в R-Vision SIEM.

Настройка System Center Operations Manager

Описание подсистемы журналирования источника

События System Center Operations Manager, отображаемые в Console Manager на вкладке Monitoring → Active Alerts, записываются и хранятся в СУБД Microsoft SQL Server.

ms scom alerts

Настройка подсистемы журналирования на источнике

Дополнительных действий по настройке журналирования на источнике совершать не требуется.

Настройка отправки событий в R-Vision SIEM

Для пересылки событий, регистрируемых System Center Operations Manager, выполните следующие шаги:

  1. Создайте отдельную сервисную учетную запись в СУБД Microsoft SQL Server и выдайте ей права на чтение базы данных с журналом. Для этого:

    1. В SQL Server Management Studio подключитесь к экземпляру СУБД.

    2. В разделе Security нажмите правой кнопкой мыши на Logins.

    3. Выберите опцию New Login…​.

    4. В разделе General укажите параметры пользователя.

      ms scom general

    5. В разделе User Mapping выберите базу данных с журналом.

    6. Установите флажок db_datareader.

      ms scom datareader

  2. Создайте VIEW с названием RV_SCOM_ALERTS. Для этого:

    Для выполнения операции требуется учетная запись с административными правами.

    1. Откройте базу данных OperationsManager.

    2. Нажмите правой кнопкой мыши на Views.

    3. Выберите опцию New View…​.

      ms scom option

    4. В окне создания нового VIEW в строку запроса вставьте следующий SQL-запрос:

      SELECT          lt.LTValue AS name, ahistory.AlertId, rules.RuleName, alert.AlertName, alert.AlertDescription, ahistory.ResolutionState,alert.Severity, alert.Category, ahistory.Comments, ahistory.TimeModified, ahistory.ModifiedBy, ahistory.TimeAdded, alert.TimeResolved, alert.ResolvedBy, alert.AlertParams
FROM            dbo.AlertHistory AS ahistory INNER JOIN
                         dbo.Alert AS alert ON ahistory.AlertId = alert.AlertId INNER JOIN
                         dbo.Rules AS rules ON alert.RuleId = rules.RuleId INNER JOIN
                         dbo.LocalizedText AS lt ON lt.ElementName LIKE rules.RuleName + '%Message'
WHERE            lt.LTStringType = 1

      ms scom sql

    5. Нажмите комбинацию клавиш CTRL+SHIFT+S, чтобы сохранить VIEW с названием RV_SCOM_ALERTS.

      Данное название используется впоследствии при обращении из точки входа в конвейере R-Vision SIEM.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:

    1. Перейдите в раздел Ресурсы → Секреты.

    2. Нажмите на кнопку Создать (plus).

    3. В раскрывшемся окне создания секрета заполните поля:

      • Название: введите название секрета.

      • Описание (опционально): опишите, для чего будет использоваться секрет.

      • Тип секрета: выберите вариант Строка подключения.

      • Строка подключения: введите строку вида:

        <jdbc:sqlserver://<ip-address>:<port>;encrypt=false;databaseName=<database-name>;user=<username>;password=<password> - заменить на свою строку>

        Где <ip-address> — IP-адрес сервера базы данных,<port> — порт, <database-name> — название базы данных, <username> — имя пользователя, <password> — пароль пользователя.

        ms scom create

    4. Нажмите на кнопку Создать.

  2. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  3. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Database.

    • Драйвер базы данных: выберите вариант MS SQL.

    • Адрес подключения: выберите секрет, созданный ранее.

    • SQL-запрос: введите запрос вида:

      SELECT 'scom' AS appname, @@SERVERNAME as hostname, TimeAdded AS timer, * FROM OperationsManager.dbo.RV_SCOM_ALERTS WHERE TimeAdded > DATEADD(S, CONVERT(INT, ?)+1, '1970-01-01') ORDER BY TimeAdded ASC;

    • Поле идентификатора: введите ключ timer со значением 1719588137.

    • Интервал запроса, секунд: введите значение 120.

  4. Добавьте на конвейер элемент Нормализатор с правилом System Center Operations Manager (идентификатор правила: RV-N-328).

  5. Соедините нормализатор с точкой входа.

  6. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  7. Соедините конечную точку с нормализатором.

  8. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

ms scom pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события System Center Operations Manager.

Найти события System Center Operations Manager в хранилище можно по следующему фильтру:

device_product = "scom"

ms scom storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь