Microsoft System Center Yönetim Ailesi

System Center Operation Manager 2012 R2 / 2016 Event Rule Oluşturma

Yenal Tırpancı fotoğrafı Yenal Tırpancı Bir e-posta göndermek 27/05/2019
1 1 dakika okuma süresi

System Center Operation Manager uygulamamız ile bir çok şeyi monitör edebiliyoruz. Bir çok firma ya da kurumda SCOM ürünü ile BT altyapılarını uçtan uca monitor edebilmek için SCOM ürününü kullanmakta. Bizler bu makalemizde Active Directory üzerinde kullanıcıların şifre kilitlenmelerinin olduğu durumlarının takibini ile birlikte bu kullanıcımızın nerede ya da hangi bilgisayar üzerinde kilitlendiğini izleyeceğiz. Bunun için bilmemiz gereken en önemli bilgilerden biri Kullanıcı şifresi kilitlendiğinde oluşacak olan Event ID. Çünkü bizler kullanıcı şifresi kilitlendiğinde oluşan Event Id numarasını monitör edeceğiz.

Microsoft Event Viewer altında oluşan Security Event

Kategorisi : User Account Manager  

Event ID : 4740

Olarak oluştuğunu yukarıdaki resimde görüyoruz.

Peki oluşan Event Id bilgilerinide öğrendiğimize göre artık SCOM uygulamamız üzerinde gerekli adımlara başlayalım.

Kural oluşturmak için öncelikle Authoring başlığı altında Management Pack Object altında Rules üzerinde sağ klik yapacağız ve Create a new rule… seçimini gerçekleştireceğiz.

Gelen ekranda Collection Rules – Event Based – NT Event Log seçimini yapıyoruz ve hangi management packi kullanacak ise o management packi seçerek Next ile ilerliyoruz.

Rule Name kısmına tanımlayıcı bir kural adı giriyoruz. Rule Target kısmında ise hangi sunucu gurubu takip edilecek ise o computer grubunu hedef olarak gösteriyoruz.Aslında buradaki Rule Target kısmı önemlidir.İsterseniz custom bir grup oluşturup hedef olarak o grubu gösterebilirsiniz.

Bizi karşılayan bu ekranımızda ise Log Name olarak security grubunu seçiyoruz.Çünkü makalemizin ilk başında da belirttiğimiz gibi User Account Control bir security logudur.

Bu ekranımızda ise filtreleme yapacağımız ekranımız. İsterseniz yukarıdaki resimdede görüldüğü gibi Add seçimi yaparak daha fazla filtreleme alanları ekleyebiliriz. Ben burada oluşacak olan Event Id numarasını 4740 olarak tanımladım. Çünkü Kullanıcı şifresini kilitlediğinde Event Viewer altında oluşacak olan Event Id 4740 olarak düşecektir. Create seçimini yaparak artık kural tanımını bitiriyorum.

Görüldüğü gibi son adımdan sonra Rules altında benim isimlendirdiğim ve oluşturduğum User Account Control isimli kural oluşmuş durumda ve hedef olarak gösterdiğim sunucuları monitor edilmeye başlanmış durumda.

Yukarıdaki resimde de görüldüğü üzere hesabın kilitlenmesi durumunda DC01 isimli sunucu üzerinde User Account Lock olmuş ve 4740 numaralı event oluşmuş ve bizlerde SCOM uygulaması üzerinde oluşturduğumuz rule sayesinde alert rule olarak almış bulunmaktayız.

Bir sonraki makalemizde bu rule üzerinde custom attributeler oluşturup System Center Orchestrator ile bütünleştireceğiz.

Yenal Tırpancı fotoğrafı Yenal Tırpancı Bir e-posta göndermek 27/05/2019
1 1 dakika okuma süresi
Yenal Tırpancı fotoğrafı

Yenal Tırpancı

İlgili Makaleler

Microsoft Configuration Manager HTA Dosyası ile İşletim Sistemi Dağıtımı

15/03/2024

SCCM İle Yeni Microsoft Teams Deployment

08/02/2024

SCCM ile AnyDesk Uninstall Etmek

06/02/2024

SCCM ile Microsoft Visio 2019 Deployment

07/01/2024

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu