如何审计SCCM设备收集的变化

这是一篇很有用的文章,介绍了如何审计SCCM设备收集更改。在报告的帮助下,您可以找到创建、修改和删除SCCM Collection的人。每当您希望审计SCCM设备集合更改时,状态消息查询和消息ID非常有用。

您可以使用状态消息查询来确定何时修改或删除特定组件或SCCM对象,以及用于进行修改的帐户。

如果您有一个更大的SCCM环境,您可能需要监视很多东西。特别是对SCCM及其组件所做的更改进行审计。我在这里只选择了一小部分,即审计SCCM设备集合更改。

PatchMyPC HorizontalAD
修补我的电脑赞助广告

您的一线支持或帮助台可以拥有在SCCM中创建设备集合的权限。但是,您可能希望监视对这些设备集合所做的更改。

如果一个SCCM设备集合被一个用户错误地或有意地删除了,现在您想找到谁删除了SCCM集合,该怎么办?或者,您可能希望查找谁修改了SCCM集合,或者查找谁创建了删除的SCCM集合。

要回答所有这些问题,这篇文章将帮助你。在我之前的文章中,我已经谈到了SCCM的重要性状态消息查询.您可以使用状态消息查询执行以下操作。

设备采集审计的前提条件

在开始审计SCCM设备集合更改之前,最重要的先决条件是报告。您必须拥有运行报告的权限。您可以从您的配置管理控制台或通过网络浏览器。

如果您的SCCM报告服务点有任何问题,您可以轻松地为SCCM重新安装SQL报表服务

设备集合消息ID

在试图找出谁创建/修改/删除SCCM设备集合时,了解消息ID非常有用。我们将使用下面的消息ID来审计SCCM设备集合的更改。

消息ID 消息ID描述
30015 找出谁创建了SCCM集合
30016 找出谁修改了SCCM集合
30017 查找谁删除了SCCM集合

查找谁创建了SCCM设备集合

下面是查找创建SCCM设备集合的人的步骤。

  • 启动Configuration Manager控制台。
  • 导航到监控概述报告报告
  • 寻找报告特定消息ID的所有消息
  • 右击特定消息ID的所有消息并点击运行
审计SCCM设备收集变更
审计SCCM设备收集变更

特定消息ID的所有消息报告,请点击并输入消息ID为30015.消息ID 30015提供了关于谁创建了SCCM集合的信息。点击查看报告

回显信息中显示了以下详细信息。

  • 状态消息
  • 记录ID
  • 严重程度
  • 消息ID
  • 组件
  • 设备名称
  • 时间(UTC)
  • 网站代码

如果仔细观察,Status消息实际上显示了创建设备集合的用户。例如,在这种情况下-用户cmadmin创建了一个名为Windows 10测试计算机(TP100014)的集合

审计谁创建了SCCM设备集合
审计谁创建了SCCM设备集合

查找谁修改了SCCM设备集合

我们将使用相同的报告来查找谁修改了SCCM设备集合消息ID 30016.运行名为特定消息ID的所有消息并点击.在值框中输入消息ID为30016.点击查看报告

在输出中,您可以看到Status消息实际上显示了修改设备集合的用户。例如,在这种情况下-用户James修改了名为Windows 10 Test Computers (TP100014)的集合的集合属性。该集合目前分配给以下ConfigMgr管理员

您可能会在输出中发现两个以上的条目,因为一个设备集合可能会被许多用户修改。这里重要的是时间(UTC)列,该列告诉谁最后修改了SCCM设备集合。

审计谁修改了SCCM设备集合
审计谁修改了SCCM设备集合

查找谁删除了SCCM设备集合

这是一个重要的部分,在这里我们可以找到谁删除了SCCM设备集合。一个被修改的集合是可以的,但是当你知道一个设备集合被删除时,这就成为一个非常关键的问题。

我们将再次运行该报告特定消息ID的所有消息查找删除设备集合的用户。我们将使用消息ID 30017来查找删除SCCM设备集合的用户。

运行报告并输入消息ID为30017并点击查看报告.输出将显示删除SCCM设备集合的用户。例如,在这种情况下-用户James删除了一个名为Windows 10测试计算机(TP100014)的集合

审计谁删除了SCCM设备集合
审计谁删除了SCCM设备集合

我希望这篇文章有助于审计设置中的SCCM设备收集更改。如果你有任何问题,请在下面的评论区留言。

留下回复

你的电邮地址将不会公布。必填字段已标记

一个评论

  1. 《阿凡达》的照片 大卫 说:

    这是一份非常好的报告,但如果变化太大,你就无法在报告中找到它。
    据我所知,这些改动可以保存半年。正确吗?