如何审计SCCM设备收集的变化

这是一篇很有用的文章，介绍了如何审计SCCM设备收集更改。在报告的帮助下，您可以找到创建、修改和删除SCCM Collection的人。每当您希望审计SCCM设备集合更改时，状态消息查询和消息ID非常有用。

您可以使用状态消息查询来确定何时修改或删除特定组件或SCCM对象，以及用于进行修改的帐户。

如果您有一个更大的SCCM环境，您可能需要监视很多东西。特别是对SCCM及其组件所做的更改进行审计。我在这里只选择了一小部分，即审计SCCM设备集合更改。

您的一线支持或帮助台可以拥有在SCCM中创建设备集合的权限。但是，您可能希望监视对这些设备集合所做的更改。

如果一个SCCM设备集合被一个用户错误地或有意地删除了，现在您想找到谁删除了SCCM集合，该怎么办?或者，您可能希望查找谁修改了SCCM集合，或者查找谁创建了删除的SCCM集合。

要回答所有这些问题，这篇文章将帮助你。在我之前的文章中，我已经谈到了SCCM的重要性状态消息查询．您可以使用状态消息查询执行以下操作。

• 监控SCCM任务序列进度
• 找出谁修改了SCCM任务序列
• 找出谁删除了SCCM任务序列

设备采集审计的前提条件

在开始审计SCCM设备集合更改之前，最重要的先决条件是报告。您必须拥有运行报告的权限。您可以从您的配置管理控制台或通过网络浏览器。

如果您的SCCM报告服务点有任何问题，您可以轻松地为SCCM重新安装SQL报表服务．

设备集合消息ID

在试图找出谁创建/修改/删除SCCM设备集合时，了解消息ID非常有用。我们将使用下面的消息ID来审计SCCM设备集合的更改。

消息ID	消息ID描述
30015	找出谁创建了SCCM集合
30016	找出谁修改了SCCM集合
30017	查找谁删除了SCCM集合

查找谁创建了SCCM设备集合

下面是查找创建SCCM设备集合的人的步骤。

• 启动Configuration Manager控制台。
• 导航到监控＼概述＼报告＼报告．
• 寻找报告特定消息ID的所有消息．
• 右击特定消息ID的所有消息并点击运行．

在特定消息ID的所有消息报告,请点击值并输入消息ID为30015．消息ID 30015提供了关于谁创建了SCCM集合的信息。点击查看报告．

回显信息中显示了以下详细信息。

• 状态消息
• 记录ID
• 严重程度
• 消息ID
• 组件
• 设备名称
• 时间(UTC)
• 网站代码

如果仔细观察，Status消息实际上显示了创建设备集合的用户。例如，在这种情况下-用户cmadmin创建了一个名为Windows 10测试计算机(TP100014)的集合．

查找谁修改了SCCM设备集合

我们将使用相同的报告来查找谁修改了SCCM设备集合消息ID 30016．运行名为特定消息ID的所有消息并点击值．在值框中输入消息ID为30016．点击查看报告．

在输出中，您可以看到Status消息实际上显示了修改设备集合的用户。例如，在这种情况下-用户James修改了名为Windows 10 Test Computers (TP100014)的集合的集合属性。该集合目前分配给以下ConfigMgr管理员．

您可能会在输出中发现两个以上的条目，因为一个设备集合可能会被许多用户修改。这里重要的是时间(UTC)列，该列告诉谁最后修改了SCCM设备集合。

查找谁删除了SCCM设备集合

这是一个重要的部分，在这里我们可以找到谁删除了SCCM设备集合。一个被修改的集合是可以的，但是当你知道一个设备集合被删除时，这就成为一个非常关键的问题。

我们将再次运行该报告特定消息ID的所有消息查找删除设备集合的用户。我们将使用消息ID 30017来查找删除SCCM设备集合的用户。

运行报告并输入消息ID为30017并点击查看报告．输出将显示删除SCCM设备集合的用户。例如，在这种情况下-用户James删除了一个名为Windows 10测试计算机(TP100014)的集合．

我希望这篇文章有助于审计设置中的SCCM设备收集更改。如果你有任何问题，请在下面的评论区留言。