DRA protokolliert alle Benutzervorgänge im Protokollarchiv auf dem Verwaltungsserver-Computer, damit Sie die Aktionen der Hilfsadministratoren überprüfen und Berichte dazu erstellen können. Benutzervorgänge umfassen alle Versuche, Definitionen zu ändern, beispielsweise das Aktualisieren von Benutzerkonten, Löschen von Gruppen oder Neudefinieren von ActiveViews. DRA protokolliert außerdem spezifische interne Operationen, zum Beispiel die Initialisierung des Verwaltungsservers und verknüpfte Serverinformationen. Neben diesen Revisionsereignissen protokolliert DRA die Vorher- und Nachher-Werte zum Ereignis, damit genau nachverfolgt werden kann, was geändert wurde.
DRA verwendet den Ordner NetIQLogArchiveData, das sogenannte Protokollarchiv, um die archivierten Protokolldaten sicher zu speichern. DRA archiviert die Protokolle im Laufe der Zeit und löscht dann ältere Daten, um Platz für neuere Daten zu schaffen. Dieser Vorgang wird als Bereinigung bezeichnet.
DRA verwendet die Revisionsereignisse, die in den Protokollarchivdateien gespeichert sind, zum Anzeigen der Aktivitätsdetailberichte, beispielsweise um anzuzeigen, welche Änderungen innerhalb eines bestimmten Zeitraums an einem Objekt vorgenommen wurden. Sie können DRA auch so konfigurieren, dass die Informationen aus diesen Protokollarchivdateien zu einer SQL Server-Datenbank exportiert werden, die NetIQ Reporting Center zum Anzeigen von Verwaltungsberichten verwendet.
DRA schreibt Revisionsereignisse immer in das Protokollarchiv. Sie können festlegen, ob DRA die Ereignisse zusätzlich in die Windows-Ereignisprotokolle schreiben soll.
Bei der Installation von DRA werden Revisionsereignisse standardmäßig nicht im Windows-Ereignisprotokoll protokolliert. Sie können diese Art der Protokollierung durch Änderung eines Registrierungsschlüssels aktivieren.
ACHTUNG:Gehen Sie beim Bearbeiten der Windows-Registrierung mit Bedacht vor. Ein Fehler in der Registrierung kann dazu führen, dass der Computer nicht mehr funktionsfähig ist. Wenn ein Fehler auftritt, können Sie die Registrierung auf den Zustand beim letzten erfolgreichen Starten des Computers wiederherstellen. Weitere Informationen finden Sie in der Hilfe im Windows-Registrierungseditor.
So aktivieren Sie die Ereignisrevision:
Klicken Sie auf Start > Ausführen.
Geben Sie regedit in das Feld Öffnen ein und klicken Sie auf OK.
Erweitern Sie den folgenden Registrierungsschlüssel: HKLM\Software\WOW6432Node\Mission Critical Software\OnePoint\Administration\Modules\ServerConfiguration\.
Klicken Sie auf Bearbeiten > Neu > DWORD-Wert.
Geben Sie IsNTAuditEnabled als Schlüsselnamen ein.
Klicken Sie auf Bearbeiten > Ändern.
Geben Sie 1 in das Feld Wertdaten ein und klicken Sie auf OK.
Schließen Sie den Registrierungseditor.
So deaktivieren Sie die Ereignisrevision:
Klicken Sie auf Start > Ausführen.
Geben Sie regedit in das Feld Öffnen ein und klicken Sie auf OK.
Erweitern Sie den folgenden Registrierungsschlüssel: HKLM\Software\WOW6432Node\Mission Critical Software\OnePoint\Administration\Modules\ServerConfiguration\.
Wählen Sie den Schlüssel IsNTAuditEnabled aus.
Klicken Sie auf Bearbeiten > Ändern.
Geben Sie 0 in das Feld Wertdaten ein und klicken Sie auf OK.
Schließen Sie den Registrierungseditor.
Um sicherzustellen, dass alle Benutzeraktionen überwacht werden, stellt DRA alternative Protokollierungsmethoden zur Verfügung, wenn das Produkt die Protokollierungsaktivität nicht überprüfen kann. Bei der Installation von DRA werden der AuditFailsFilePath-Schlüssel und -Pfad zur Registrierung hinzugefügt, um die folgenden Aktionen zu gewährleisten:
Wenn DRA erkennt, dass die Revisionsereignisse nicht mehr in einem Protokollarchiv protokolliert werden, protokolliert DRA die Revisionsereignisse in einer lokalen Datei auf dem Verwaltungsserver.
Wenn DRA die Revisionsereignisse nicht in eine lokale Datei schreiben kann, werden die Revisionsereignisse von DRA in das Windows-Ereignisprotokoll geschrieben.
Wenn DRA die Revisionsereignisse nicht in das Windows-Ereignisprotokoll schreiben kann, schreibt das Produkt die Revisionsereignisse in das DRA-Protokoll.
Wenn DRA erkennt, dass die Revisionsereignisse nicht mehr protokolliert werden, sperrt es weitere Benutzervorgänge.
Um Schreibvorgänge zu ermöglichen, während das Protokollarchiv nicht verfügbar ist, müssen Sie außerdem einen Wert für den Registrierungsschlüssel „AllowOperationsOnAuditFailure“ festlegen.
ACHTUNG:Gehen Sie beim Bearbeiten der Windows-Registrierung mit Bedacht vor. Ein Fehler in der Registrierung kann dazu führen, dass der Computer nicht mehr funktionsfähig ist. Wenn ein Fehler auftritt, können Sie die Registrierung auf den Zustand beim letzten erfolgreichen Starten des Computers wiederherstellen. Weitere Informationen finden Sie in der Hilfe im Windows-Registrierungseditor.
So ermöglichen Sie Schreibvorgänge:
Klicken Sie auf Start > Ausführen.
Geben Sie regedit in das Feld Öffnen ein und klicken Sie auf OK.
Erweitern Sie den folgenden Registrierungsschlüssel: HKLM\Software\WOW6432Node\Mission Critical Software\OnePoint\Administration\Audit\.
Klicken Sie auf Bearbeiten > Neu > DWORD-Wert.
Geben Sie AllowOperationsOnAuditFailure als Schlüsselnamen ein.
Klicken Sie auf Bearbeiten > Ändern.
Geben Sie 736458265 in das Feld Wertdaten ein.
Wählen Sie Dezimal im Feld Basis aus und klicken Sie auf OK.
Schließen Sie den Registrierungseditor.