Home
  •  

계정 변경 보고서 생성

Account_Changes_Report_Creation_Only_Rule (Rule)

Knowledge Base article:

요약

이 규칙은 계정 변경 이벤트를 보여주는 보고서를 생성합니다. 보고서는 AD Account Changes로 명명됩니다.

해결 방법

이 규칙의 목적은 계정 변경 보고서가 생성되었음을 알리는 알림을 끈 상태에서 계정 변경 보고서가 생성되도록 하는 것입니다. 이렇게 하면 AD MP로 인해 발생하는 노이즈를 줄일 수 있습니다.

이 보고서 생성을 중지하려면 '계정 변경 보고서 생성' 규칙을 사용하지 않도록 설정합니다.

알림을 끈 상태에서 보고서를 생성하려면 '계정 변경 보고서 생성' 규칙을 사용하도록 설정한 다음 '계정 변경 보고서 및 알림 생성' 규칙을 사용하지 않도록 설정합니다.

외부 정보

Element properties:

TargetMicrosoft.Windows.Server.2012.R2.AD.DomainControllerRole
CategoryEventCollection
EnabledFalse
Event SourceMicrosoft-Windows-Directory-Services-SAM
Alert GenerateFalse
RemotableTrue
Event LogSystem
CommentMom2005ID='{480437A8-1322-4B62-8A66-EBA9AF6C31D8}';MOM2005GroupID=

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
CollectEventData WriteAction Microsoft.SystemCenter.CollectEvent Default
CollectEventDataWarehouse WriteAction Microsoft.SystemCenter.DataWarehouse.PublishEventData Default

Source Code:

<Rule ID="Account_Changes_Report_Creation_Only_Rule" Comment="Mom2005ID='{480437A8-1322-4B62-8A66-EBA9AF6C31D8}';MOM2005GroupID=" Enabled="false" Target="AD2012R2Core!Microsoft.Windows.Server.2012.R2.AD.DomainControllerRole" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>System</LogName>

      <Expression>

        <And>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005BooleanRegularExpression</Operator>

              <Pattern>^(12292|12293|12298|12303|12304|16384|16385|16386|16387|16388|16389|16390|16391|16392|16393|16394|16395|16396|16397|16398|16399|16400|16401|16402|16403|16404|16405|16406|16407)$</Pattern>

            </RegExExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>Microsoft-Windows-Directory-Services-SAM</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="CollectEventData" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="CollectEventDataWarehouse" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>

  </WriteActions>

</Rule>