Home
  •  

System Center 数据访问服务无法写入安全审核事件。

Microsoft.SystemCenter.SDKService.UnableToGenerateAuditEvents.Alert (Rule)

如果 System Center 数据访问服务报告说无法将安全审核事件写入安全事件日志,则此规则将生成警报。

Knowledge Base article:

摘要

数据访问服务无法将审核事件记录到安全事件日志。

原因

发生此失败的原因在于数据访问服务帐户的用户权限不足。

解决方法

解决此问题的步骤: 1) 打开“本地安全策略”MMC 管理单元。2) 转到“本地策略”->“用户权限分配”。 3) 双击“生成安全审核”。 4) 将数据访问服务帐户添加到允许生成安全审核的帐户的列表中。 5) 重新启动数据访问服务。

Element properties:

TargetMicrosoft.SystemCenter.CollectionManagementServer
CategoryAlert
EnabledTrue
Event_ID26338
Event SourceOpsMgr SDK Service
Alert GenerateTrue
Alert SeverityError
Alert PriorityHigh
RemotableTrue
Alert Message
数据访问服务无法生成审核事件。
数据访问服务无法审核 SDK 操作,因为它无法在安全事件日志中生成审核事件。
Event LogOperations Manager

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.SystemCenter.SDKService.UnableToGenerateAuditEvents.Alert" Enabled="true" Target="SCLibrary!Microsoft.SystemCenter.CollectionManagementServer" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Operations Manager</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">OpsMgr SDK Service</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">26338</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertName/>

      <AlertDescription/>

      <AlertMessageId>$MPElement[Name="Microsoft.SystemCenter.SDKService.UnableToGenerateAuditEvents.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression/>

    </WriteAction>

  </WriteActions>

</Rule>