이 규칙은 계정 변경 이벤트를 보여주는 보고서를 생성합니다. 보고서는 AD Account Changes로 명명됩니다.
이 규칙의 목적은 계정 변경 보고서가 생성되었음을 알리는 알림을 끈 상태에서 계정 변경 보고서가 생성되도록 하는 것입니다. 이렇게 하면 AD MP로 인해 발생하는 노이즈를 줄일 수 있습니다.
이 보고서 생성을 중지하려면 '계정 변경 보고서 생성' 규칙을 사용하지 않도록 설정합니다.
알림을 끈 상태에서 보고서를 생성하려면 '계정 변경 보고서 생성' 규칙을 사용하도록 설정한 다음 '계정 변경 보고서 및 알림 생성' 규칙을 사용하지 않도록 설정합니다.
Target | Microsoft.Windows.Server.2012.R2.AD.DomainControllerRole |
Category | EventCollection |
Enabled | False |
Event Source | Microsoft-Windows-Directory-Services-SAM |
Alert Generate | False |
Remotable | True |
Event Log | System |
Comment | Mom2005ID='{480437A8-1322-4B62-8A66-EBA9AF6C31D8}';MOM2005GroupID= |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
CollectEventData | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
CollectEventDataWarehouse | WriteAction | Microsoft.SystemCenter.DataWarehouse.PublishEventData | Default |
<Rule ID="Account_Changes_Report_Creation_Only_Rule" Comment="Mom2005ID='{480437A8-1322-4B62-8A66-EBA9AF6C31D8}';MOM2005GroupID=" Enabled="false" Target="AD2012R2Core!Microsoft.Windows.Server.2012.R2.AD.DomainControllerRole" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005BooleanRegularExpression</Operator>
<Pattern>^(12292|12293|12298|12303|12304|16384|16385|16386|16387|16388|16389|16390|16391|16392|16393|16394|16395|16396|16397|16398|16399|16400|16401|16402|16403|16404|16405|16406|16407)$</Pattern>
</RegExExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>Microsoft-Windows-Directory-Services-SAM</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="CollectEventData" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="CollectEventDataWarehouse" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>
</WriteActions>
</Rule>