OMS 安全性即時保護狀態的故障排除 – Part 1

在某些情況,IT 管理員可能會在利用 OMS 安全性與稽核儀表板監視即時保護狀態時遇到問題。在此故障排除的情況中,一台安裝了 System Center 端點保護 並啟用了即時保護功能的 Windows Server 2012 電腦,在 OMS 控制台中被顯示出即時保護並未啟用。雖然此文案例發生在 Windows Server 2012,但此情況也有可能發生在 Windows Server 2008 或 Windows 7 SP1。 原因 Microsoft System Center Endpoint Protection 被偵測到發現 Protection Status Rank 270 並沒有即時的保護,如下圖: 故障排除步驟 確認所有監視是否都啟用,如以下範例: 可以注意到 “BehaviorMonitor" 沒有被啟用,而這就是造成 270 的原因。 解決方法 透過 SCEP 管理控制台來啟用所有監視。

0

使用OMS Security 分析 Check Point logs

OMS 安全與合規性 (Security & Compliance) 解決方案,提供許多 Windows、Linux 機器上安全數據來源的安全分析,包含任何發出 Syslog 的來源。現在,我們發布了一個由 Check Point 開發的新功能,它可以將 Check Point gateway logs 傳送到 OMS Security & Compliance 解決方案,以進行進一步分析。 透過 Linux agent 轉發 Check Point logs 到 OMS Log Analytics 服務後,OMS 將對數據進行索引,並分析安全性相關的數據。如此一來,使用者便可以輕鬆搜尋數據,並將其用於查詢、警報,和儀表版。 以下顯示的結果為一種新型的搜尋記錄,稱作 CommonSecurityLog,它允許您使用所有 OMS 搜索語言的功能,以便分析來自您 Check Point 防火牆的數據。 此外,安全與合規性使用微軟威脅情報來識別被惡意行為者使用的 IP 位置。這提供了攻擊者嘗試訪問您系統成功或失敗的寶貴訊息。它甚至可以突出您系統與惡意計算機進行通訊的情況。這時通常代表系統已被洩密,且正在聯繫其指令、控制或 Exfiltrating 數據。交互式地圖顯示了這些攻擊的地理來源,方便您進一步調查。若已知關於攻擊者的其他信息,威脅原因報告將提供有關攻擊者目標和策略的詳細訊息。   下圖顯示了 Check Point 的 log 架構處理概覽:…

0

利用 OMS Log Analytics 搜尋近兩年的數據

摘要:在 Log Analytics 中修改 retention value,使得數據保存可以長達兩年。 更新:您現在可以用 Azure 入口網站更改數據保存年限,若需更詳細的資訊,請參考此篇文章:變更 Log Analytics 儲存資料的時間長度 過去我們的付費專案中,數據可以保存 30 天,更新後,現在數據可以保存長達730天(兩年)!! 我們仍在建立使用者介面 (UI),並添加新的 Powershell 支援功能:透過 PowerShell 也能設定保存年限,但我們了解許多用戶早已迫切希望數據儲存年限可以延長,故此篇將先展示如何利用 Azure Resource Explorer 來變更年限。 更改數據儲存年限 您必須是 Standalone 或 OMS pricing plan 才能更改儲存年限。若您的方案是 Free pricing plan,則保存時間為7天,無法更改;若工作區是在10月1號前建立的,且您的方案是 Standard plan,則該工作區的數據保存時間為30天,方案是 Premium plan 的話則為365天。 若想把預設的30天期限改為長一點的時間段,請依照下列步驟: 開啟https://resources.azure.com ,並使用您用來登入 portal.azure.com 的憑證來登入。 要展開 subscriptions 的話,點擊左窗格中的+(加號)符號 要展開某一 subscription 的話,點擊+符號。 要展開 resourceGroups 的話,點擊+符號。…

0

如何在 OMS Log Analytics 使用量高於預期時收到通知

摘要:此篇將說明如何在您  Log Analytics 使用量超出預期額度時收到通知。 新的Usage View 2016年9月中旬,我們更新了 Log Analytics 中的 Usage view,以便讓您可以更深入地了解發送到 Log Analytics 的數據量,並且知道哪一個解決方案和計算機傳送的數據最多。使用數據按小時計算,可從search 中獲得,這讓您可以更容易地執行 analysis 和 correlations。 畫面中提供您的信息包含: 有多少數據發送到 Log Analytics,且是由那些計算機發送的 每個解決方案發送多少數據 有多少數據量與計算機無關 哪些計算機正在發送數據,和哪些計算機最近未發送數據 每個 OMS offers (Insight & Analytics、Automation & Control、和 Security & Compliance) 中,有多少節點在發送數據 Log Analytics 需要多長時間讓數據變成可被搜尋到 這些圖讓使用者可以輕鬆理解發送到 Log Analytics 的數據,但若您想預測您的使用量,該如何做呢? 查詢以便顯示使用率 以下指令的查詢結果將告訴我過去24小時內發送了多少 GB 的數據: Type=Usage QuantityUnit=MBytes IsBillable=true TimeGenerated > NOW-24HOURS…

0

用 OMS 監控 Nutanix –公開預覽

摘要:來自 Comtrade Software 的 Nutanix 監控解決方案現在與 OMS 整合了。 近期,我們發表了來自 Comtrade Software 的 Nutanix 監控解決方案,專屬於 OMS 版本的公開預覽。它可以針對 on-prem Nutanix 企業雲進行監控、事件分析、log 分析。它透過以下功能延展了 OMS : 提供歷史性的 Nutanix 性能整標,如叢集 (cluster)/主機/存儲/虛擬機(VM)延遲、每秒輸入/輸出操作 (IOPS),和資源利用率 確保必須添加更多固態硬碟 (SSD)儲存資源以維持低 I/O 延遲的情況 啟用運行多個虛擬機的 Nutanix 主機之即時身分識別,與負載較少虛擬機的主機標示。 作為 Nutanix 的搜尋紀錄與事件收集、分析的核心要點,以便將控制器虛擬機(CVM)之間的 Nutanix 記錄檔相關聯。 Comtrade Software 的 Nutanix OMS 解決方案包括五個解決方案(Nutanix 叢集、Nutanix 硬體、Nutanix 儲存、Nutanix 虛擬機和 Nutanix 記錄、事件分析)。每個解決方案可為單一 Nutanix 區域做監控和分析。部署這五項,便可以獲得完整的 Nutanix 監控和分析報告。…

0

OMS container 解決方案–支援 Windows Server 和 Hyper-V Container

我們聽到許多用戶希望 OMS 能支援監控 Windows Server Container,現在 OMS Container 解決方案可以做到了,它能支援 Windows Server 和 Hyper-V containers。 2016夏天,微軟擴充了 OMS 的功能,以幫助開發人員在 Linux 上的 Docker container 建立、運行、測試和部署分布式 (distributed) 應用程式。由於 container 是輕量級、容易配置又能節省資源的虛擬機器,開發人員偶爾會建立它們作為支援持續交付的解決方案。隨著 container 在生產中被廣泛使用,且數量持續成長,container 監控變得更具挑戰性。 通過單一視窗,用戶現在可以監控混合雲與多個平台上的 container。 有了 OMS Container 解決方案,您現在可以: 集中並關聯來自 Windows Server、Hyper-V和 Docker containers 的數百萬條記錄 看到關於 Container 狀態、圖像和關聯性的實時訊息 查看 Container 主機上所有操作的詳細、安全的審計追蹤 有關 OMS 上 Windows Server 和 Hyper-V Container…

0

用 Lumagate 和 OMS 監控 Windows Server OS — 公開預覽

2017年2月,我們發布了 OMS 版 Lumagate 的 Windows Server  OS 監控解決方案。有了 OMS 洞察力與分析功能,您可以透過現成的解決方案與圖像化的分析資料來監控任何來自 Windows Server 和 Linux 的工作負載。現在,透過 Windows Server OS 解決方案, 您可以在一個儀表板上查看所有 Windows Server 上工作負載的運行狀態和性能。 新的解決方案幫助您: 輕鬆識別和解決性能問題 以容易理解的視覺化圖表查看豐富的 Windows Server 指標 排除 Windows Server 應用程式故障 監控 Azure 虛擬機、其他雲端中的虛擬機,或 on-prem 虛擬機 若需更詳細的資訊和更多配置項目,請閱讀 Lumagate 部落格文章:http://www.lumagate.com/news/monitoring-windows-os-with-lumagate-and-oms 完整的解決方案文件在此: https://github.com/Lumagate/WindowsServerOSSolutionDocs 您可以在 Monitoring + Management 區塊下的 Azure Marketplace 中找到它,或搜尋 “Windows Server OS…

0

OMS 網路效能監視器正式發布

摘要:微軟 OMS 網路效能監視器 (NPM) 現在已經有正式發布的版本了。 以下是 OMS Linux 管理套件正式發布版的展示影片: 正式發布版本相較於公開預覽版有什麼改變呢? 有很多改變!!除了修復了大量錯誤外,還有以下幾項功能改善: 基於 ICMP 探測器的測試:NPM 現在提供網路控制消息協定 (ICMP) 和傳輸控制協定 (TCP) 兩個選項,供您執行綜合交易以計算網路效能度量, 如封包遺失和連結延遲。這有益於需要 ICMP 探測的情況。首先,有些中間節點不會對 TCP 有反應,例如典型的網路設備。我們可以根據後續探測器的跳數來推論它們的存在。第二,具侵略性的防火牆配置,可能對 TCP 探測器,比對 ICMP 探測器的限制更為嚴格,且防火牆配置可能會阻止發現探測器抵達目的地所需的 TCP 重置數據包。這兩個限制也可以相反過來,即:ICMP 探測器被中間節點或防火牆拋棄,而 TCP 探測器被允許。本文將指導您如何為您的環境選擇正確的通訊協定。 網路狀態錄製器:NPM 現在讓您能查看過去任何時刻的網路狀態。例如,若有位使用者想深入了解他上星期五遇到的網路連結問題,做法是選擇日期和時間,NPM 會回傳那個時候網路連線失敗或延遲的狀態。您在檢視最新狀態時,也可以選擇啟用或停用頁面的自動重新整理功能。頁面上方長條窗格,顯示了您現在畫面中所展示的是何時的網路連線狀態。 更新的拓撲圖:我們透過改進其外觀和使用方式增強了交互式拓撲圖,它現在讓使用者可以依運行狀態(如:有高損耗的路徑)篩選路徑,並加入進階搜尋功能。我們也可以加入讓網路拓撲圖簡化的機制。當您不需要知道互聯網核心路徑的細節時,您可以用滑桿隱藏中繼躍點。 改進的警示訊息管理:NPM 現在結合了 OMS 中的警示訊息管理功能。除了 NPM 內現有的警報功能,使用者現在可以透過 email 獲得警報。警報也可以透過 runbooks 觸發補救措施,或藉由使用 webbooks 整合現有服務管理解決方案。您只需要點擊"建立警報"來獲得所需的監控規則,就可以整合監控規則與 OMS 警示訊息。如此一來,警示訊息就會自動被建立好,查詢指令和其他必須的參數也會自動填寫。您可以點擊"警報管理"來編輯這些警報設定。 支援 Windows 桌上型電腦:除了之前就有支援的 Windows…

0

哪裡可以找到我的自訂記錄檔?

OMS 允許客製化的記錄檔,這讓您幾乎可以蒐集和分析任何您系統中的數據。事實上,用戶最常使用的方法是利用他們自己的 PowerShell 腳本來蒐集、整理和建立自己定義的記錄,以便進行上傳和分析。 若這對您而言很有吸引力,您可以在"Log Analytics 中的自訂記錄檔"這篇文章獲得更多關於如何設定自訂 log 檔的資訊。 我們目前只支援 ASCⅡ 和 UTF-8。對於 PowerShell out-file cmdlet 的使用者需特別注意,因為它的預設是 UTF-16。 因此當您在撰寫自訂的記錄檔時,請確保您涵蓋了 -encoding 切換鍵,並指定為 ASCⅡ 或 UTF-8 例如: out-file -Encoding utf8 -FilePath c:\logs\somelog.log

0

運行於 Azure 虛擬機上 monitoringhost.exe 中的高 CPU

近來有位使用者告訴我們,他在兩個作為網路伺服器運行的 Azure 虛擬機上遇到高 CPU 問題。消耗 CPU 的進程是 monitoringhost.exe,它是微軟監控主機服務的子進程:微軟 OpsMgr 和 Log Analytics Agent。 這項進程的作用是透過 OpsMgr 或 Azure Log Analytic的配置來監控和蒐集資料。現在,我檢視這個進程的狀況,並發現它正在運行以下任務: Microsoft_EnterpriseManagement_Mom_Modules_CloudFileUpload!Microsoft.EnterpriseManagement.Mom.Modules.CloudFileUpload.AsyncStreamHashCalculator.ReadStreamCallbac 於是,我們知道它正在上傳一個檔案到工作區,並同時計算 hash。 進一步檢視這個過程的話,可以看到我們正在上傳以下這個檔案: C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 319\45\W3SVC1-u_extend1.log.iislog 我們正在上傳一個 IIS log,您可以輕鬆的叫 Log Analytics 替您完成這件事。 我們在受影響的 servers 上檢查這些記錄檔案,並發現它們檔案大小加起來大約 14-15 GB。 正如下圖所示,這些記錄檔案已經被設置成不會循環 (never rollover)。 將這些檔案改成按時程循環,可以管理檔案大小,並讓 CPU 使用量回復到正常狀態。 因此,這篇的重點在於,當您要傳送多餘的數據到 OMS/Log Analytics 時,務必仔細些:花點心力在確認您要求服務的內容,以及將要上傳的資料。

0