ACS Event filtering

Ciao a tutti,

tra le cose importanti da considerare quando si implementa una soluzione di Auditing basata su ACS (Audit Collection Services) ci sono sicuramente il numero di eventi che vengono collezionati e la dimensione del database che li conterrà.

ACS colleziona tutto quello che viene scritto nel security log dei server su cui la componente forwarder (l’agente che legge dal security log ed invia al collector) risulta abilitata. Di conseguenza la quantità di dati collezionati, varierà in funzione del ruolo del server (un DC traccia più eventi di un SQL Server) e  delle audit policy (di dominio e non) attivate, impattando direttamente sia sulle prestazioni (collector e database server) che sulle dimensioni del database di ACS.

Nella pagina del prodotto (http://technet.microsoft.com/en-us/library/cc974475.aspx) sul sito Technet, viene descritto tutto il processo di deploy di ACS compresa la costruzione e l’applicazione del filtro.

Questo filtro, basato su query WQL, viene applicato ai dati collezionati quando sono ancora nella memoria del collector e può essere di tipo positivo (select * from AdtsEvent where) oppure di tipo negativo (select * from AdtsEvent where NOT).

In funzione del tipo di filtro configurato, nel database verranno scritti solo gli eventi che soddisfano la query. Potete trovare degli esempi di filtro ai seguenti link:

Dagli esempi di sopra si capisce come la costruzione di un filtro adatto alle specifiche esigenze non sia proprio una cosa facile.

Poiché non sempre “la fortuna aiuta gli audaci” Smile , un nostro collega ha realizzato questo tool grafico per la costruzione e l’applicazione del filtro. Il tool può essere scaricato da questo link: http://blogs.technet.com/b/sudheesn/archive/2011/02/05/audit-collector-filter-gui-version-of-adtadmin-exe.aspx

Un’altro collega, DanieleMuscetta, ha pubblicato un utilissimo articolo nel quale vengono discussi I seguenti temi: calcolo delle dimensioni del database, quanti e quali eventi stiamo raccogliendo, Strategie di filtering, etc. Potete trovare l’articolo al seguente link http://blogs.technet.com/b/itpcfmgt/archive/2010/11/20/qualche-pensiero-su-audit-collection-system.aspx

Enjoy filtering and keep database size small Sarcastic smile