如何审计SCCM设备收集的变化
这是一篇很有用的文章,介绍了如何审计SCCM设备收集更改。在报告的帮助下,您可以找到创建、修改和删除SCCM Collection的人。每当您希望审计SCCM设备集合更改时,状态消息查询和消息ID非常有用。
您可以使用状态消息查询来确定何时修改或删除特定组件或SCCM对象,以及用于进行修改的帐户。
如果您有一个更大的SCCM环境,您可能需要监视很多东西。特别是对SCCM及其组件所做的更改进行审计。我在这里只选择了一小部分,即审计SCCM设备集合更改。
您的一线支持或帮助台可以拥有在SCCM中创建设备集合的权限。但是,您可能希望监视对这些设备集合所做的更改。
如果一个SCCM设备集合被一个用户错误地或有意地删除了,现在您想找到谁删除了SCCM集合,该怎么办?或者,您可能希望查找谁修改了SCCM集合,或者查找谁创建了删除的SCCM集合。
要回答所有这些问题,这篇文章将帮助你。在我之前的文章中,我已经谈到了SCCM的重要性状态消息查询.您可以使用状态消息查询执行以下操作。
目录
设备采集审计的前提条件
在开始审计SCCM设备集合更改之前,最重要的先决条件是报告。您必须拥有运行报告的权限。您可以从您的配置管理控制台或通过网络浏览器。
如果您的SCCM报告服务点有任何问题,您可以轻松地为SCCM重新安装SQL报表服务.
设备集合消息ID
在试图找出谁创建/修改/删除SCCM设备集合时,了解消息ID非常有用。我们将使用下面的消息ID来审计SCCM设备集合的更改。
消息ID | 消息ID描述 |
30015 | 找出谁创建了SCCM集合 |
30016 | 找出谁修改了SCCM集合 |
30017 | 查找谁删除了SCCM集合 |
查找谁创建了SCCM设备集合
下面是查找创建SCCM设备集合的人的步骤。
- 启动Configuration Manager控制台。
- 导航到监控\概述\报告\报告.
- 寻找报告特定消息ID的所有消息.
- 右击特定消息ID的所有消息并点击运行.
在特定消息ID的所有消息报告,请点击值并输入消息ID为30015.消息ID 30015提供了关于谁创建了SCCM集合的信息。点击查看报告.
回显信息中显示了以下详细信息。
- 状态消息
- 记录ID
- 严重程度
- 消息ID
- 组件
- 设备名称
- 时间(UTC)
- 网站代码
如果仔细观察,Status消息实际上显示了创建设备集合的用户。例如,在这种情况下-用户cmadmin创建了一个名为Windows 10测试计算机(TP100014)的集合.
查找谁修改了SCCM设备集合
我们将使用相同的报告来查找谁修改了SCCM设备集合消息ID 30016.运行名为特定消息ID的所有消息并点击值.在值框中输入消息ID为30016.点击查看报告.
在输出中,您可以看到Status消息实际上显示了修改设备集合的用户。例如,在这种情况下-用户James修改了名为Windows 10 Test Computers (TP100014)的集合的集合属性。该集合目前分配给以下ConfigMgr管理员.
您可能会在输出中发现两个以上的条目,因为一个设备集合可能会被许多用户修改。这里重要的是时间(UTC)列,该列告诉谁最后修改了SCCM设备集合。
查找谁删除了SCCM设备集合
这是一个重要的部分,在这里我们可以找到谁删除了SCCM设备集合。一个被修改的集合是可以的,但是当你知道一个设备集合被删除时,这就成为一个非常关键的问题。
我们将再次运行该报告特定消息ID的所有消息查找删除设备集合的用户。我们将使用消息ID 30017来查找删除SCCM设备集合的用户。
运行报告并输入消息ID为30017并点击查看报告.输出将显示删除SCCM设备集合的用户。例如,在这种情况下-用户James删除了一个名为Windows 10测试计算机(TP100014)的集合.
我希望这篇文章有助于审计设置中的SCCM设备收集更改。如果你有任何问题,请在下面的评论区留言。
这是一份非常好的报告,但如果变化太大,你就无法在报告中找到它。
据我所知,这些改动可以保存半年。正确吗?