帮助文档
  • Log360 Cloud
  • 配置设置
  • 文件监控
  • Windows 文件集群审计

Windows 文件集群审计

A Windows 故障切换集群 指一组独立服务器协同工作以维持应用程序和服务的高可用性。如果其中一台服务器发生故障,集群中的另一节点将接管其工作负载,几乎无或无停机时间。

ManageEngine Log360 Cloud 审计文件服务器集群,以确保网络环境的安全、无停机和合规。

审计事件

Log360 Cloud 审计以下文件活动:

  • 创建
  • 读取
  • 重命名
  • 写入
  • 删除
  • 移动
  • 复制和粘贴
  • 权限更改
  • 所有者更改
  • 读取失败尝试
  • 写入失败尝试
  • 删除失败尝试

前提条件

在 GPO 中,启用以下策略:

启用策略步骤:

  1. 打开 组策略管理编辑器.
  2. 导航至 计算机配置,然后 Windows 设置.
  3. 打开 安全设置,然后转到 本地策略.
  4. 启用以下内容:
    • 审核:强制审计策略子类别设置(Windows Vista 或更高版本)覆盖审计策略类别设置
    • 从网络访问此计算机 位于 用户权限分配
注意:

用户必须属于 本地管理员组 或具有 管理权限 以访问用于设置 SACL 和本地安全策略的管理共享。Auditpol.exe 必须在运行 Windows 6.0 或更高版本的机器上可用。

所需服务和防火墙规则(Windows 6.0 或更高版本)

服务:

  • 功能发现资源发布
  • 功能发现提供程序主机

防火墙入站规则:

  • 文件和打印机共享(SMB-In)– 本地端口 445
  • 文件和打印机共享(NB-Session-In)– 本地端口 139
  • Windows 管理工具(WMI-In)
  • Windows 管理工具(DCOM-In)
  • Windows 管理工具(异步-In)

配置节点机器上的 DCOM 权限

  1. 运行 dcomcnfg 。
  2. 展开: 组件服务 → 计算机 → 我的计算机。
  3. 右键点击 我的计算机,选择 属性。
  4. 转到 COM 安全 选项卡。
  5. 访问权限中,点击 编辑限制。
    • 确保配置的用户帐户具有 远程访问 权限。
  6. 启动和激活权限中,点击 编辑限制。
    • 确保授予以下权限:
      • 本地启动
      • 远程启动
      • 本地激活
      • 远程激活

配置节点机器上的 WMI 权限

  1. 打开 WMI 控制台 (wmimgmt.msc)。
  2. 右键点击 WMI 控制(本地)属性。
  3. 转到 安全性 选项卡。
  4. 展开命名空间(例如 root),选择 MSCluster。
  5. 点击 安全性 并确保用户具有 远程启用 权限。

在 Log360 Cloud 中配置 Windows 文件集群

  1. 打开 Log360 Cloud 并选择 设置 选项卡。
  2. 导航至 配置,然后转到 文件完整性监控.
  3. 文件完整性监控中,点击 Windows 文件集群.

    4. 在 Log360 Cloud 中配置 Windows 文件集群

  4. 选择 集群域,输入 集群名称凭据 (如果已经配置,请使用域凭据),然后点击 验证集群.
    5. 注意:
    • 确保集群名称 不是 作为域名输入。
    • 验证 IP 地址是否映射到 集群名称, 而不是域名,在 DNS 中。

    在 Log360 Cloud 中配置 Windows 文件集群

  5. 如果集群验证成功,将显示所有关联节点。
    • 默认情况下,所有节点均已选中
    • 您可以取消选择不需要配置的节点

    6. 在 Log360 Cloud 中配置 Windows 文件集群

    注意:

    选中的节点仅用于日志收集。

    至少 必须选择一个节点 进行配置。

    节点将作为 隐藏设备 添加(如果尚未配置为 Windows 或扩展应用 Windows 设备)。

  6. 浏览并选择要监控的特定文件和文件夹
    • 或手动输入路径(仅在成功验证集群后启用手动输入)

    7. 在 Log360 Cloud 中配置 Windows 文件集群

  7. 使用 过滤器 以:
    • 包含/排除特定文件类型
    • 排除主位置内的特定子位置
    • 排除 所有 主位置内的子位置

    8. 在 Log360 Cloud 中配置 Windows 文件集群

  8. 点击 配置 以完成设置。如果成功,集群即已配置。

    9. 在 Log360 Cloud 中配置 Windows 文件集群

  9. 通过点击 已配置节点 数量来编辑节点配置。

    10. 在 Log360 Cloud 中配置 Windows 文件集群

  10. 使用 添加节点 来发现并配置新的或未配置的节点。

故障排查

集群验证 / 添加节点

错误信息: 连接到 <cluster_name> 失败,原因是无效的集群名称

原因: 代理无法解析集群名称。

解决方案:

  • 检查提供的集群名称拼写
  • 验证是否选择了正确的域
  • 确保集群处于正常运行状态

错误信息: 连接到 <cluster_name> 失败,原因是集群不可访问

原因: 代理无法访问集群

解决方案:

  • 检查网络相关问题

错误信息: 凭据无效

原因: 提供的凭据没有适当访问权限或不正确

解决方案:

  • 更新为具有管理权限/所需权限的有效凭据

错误信息: 访问被拒绝

原因: 提供的凭据没有足够权限获取集群详细信息

解决方案:

  • 提供具有适当权限的凭据以获取集群详细信息

浏览位置

问题: 位置不可访问

原因: 代理无法访问指定的位置或位置无效

解决方案:

  • 检查网络相关问题
  • 验证指定位置是否有效

错误信息: 访问被拒绝

原因: 提供的凭据没有足够权限获取指定位置详细信息

解决方案:

  • 提供具有适当权限的凭据以获取指定位置详细信息

错误信息: 无法检查位置是否存在 / 集群不可访问

原因: 代理无法访问集群

解决方案:

  • 检查网络相关问题

错误信息: 凭据无效

原因: 提供的凭据没有适当访问权限或不正确

解决方案:

  • 更新为具有管理权限/所需权限的有效凭据

集群状态

问题: 没有配置节点

原因: 配置的节点可能已从设备标签页中删除

解决方案:

  • 点击 添加节点 选项重新配置节点

问题: 全部/<count> 节点不活动

原因: 所有或 n 个节点未处于成功日志收集模式

解决方案:

  • 从节点表中检查相应节点状态,并根据指定错误进行处理

© 2025 Zoho Corporation Pvt. Ltd. 保留所有权利。