Sdílet prostřednictvím

Zabezpečení služby Shromažďování událostí

  • Článek

U služby Služba Shromažďování událostí je třeba využívat následující informace o zabezpečení.

Souhrn oprávnění služby Shromažďování událostí

Zajistěte, aby identita nové instance služby Služba Shromažďování událostí měla následující oprávnění:

  • Oprávnění k vytvoření relace Trasování událostí pro Windows, registraci zprostředkovatele a čtení událostí z relace Trasování událostí pro Windows

  • Oprávnění ke čtení konfigurace služby Služba Shromažďování událostí uložené v kořenovém konfiguračním souboru Web.config

  • Oprávnění ke čtení konfiguračních souborů služby IIS umístěných v adresáři <Jednotka>\Windows\System32\inetserv\config

  • Oprávnění ke čtení příslušných konfiguračních souborů (Web.config) monitorovaných aplikací

  • Oprávnění ke čtení a zápisu pro databázi monitorování

  • Zásady Přihlásit jako službu

Spouštění jako specifický uživatel

Chcete-li izolovat události určité aplikace monitorované technologií Windows Server AppFabric, spusťte aplikace zahrnující služby WCF (Windows Communication Foundation) a WF (Windows Workflow Foundation) jako specifický uživatel. Zajistěte, aby tento uživatel měl oprávnění k zápisu do relace Trasování událostí pro Windows (ETW), na které naslouchá služba Služba Shromažďování událostí. Spusťte také aktuální službu Služba Shromažďování událostí jako specifický uživatel. Může to být stejný uživatel jako aplikace nebo jiný uživatel. Následující kroky umožňují spustit službu Služba Shromažďování událostí jako specifický uživatel:

  1. Přidejte identitu instance služby Služba Shromažďování událostí do skupiny systému Windows Performance Log Users. Tím poskytnete službě Služba Shromažďování událostí patřičné seznamy ACL, aby měla oprávnění k vytvoření relace Trasování událostí pro Windows, registraci zprostředkovatele a čtení událostí z relace Trasování událostí pro Windows.

  2. Identita služby Služba Shromažďování událostí vyžaduje oprávnění ke čtení a zápisu pro úložiště dat monitorování. Identitu služby Služba Shromažďování událostí je proto nutné přidat do databázových rolí ASMonitoringDbReader a ASMonitoringDbWriter. Tuto identitu je možné přidat explicitně do těchto databázových rolí. Identitu služby Služba Shromažďování událostí je však místo toho možné přidat do skupiny systému Windows AS_Administrators vytvořené technologií AppFabric.

  3. Udělte identitě služby Služba Shromažďování událostí oprávnění ke čtení souborů Web.config monitorovaných aplikací. Přidáním identity instance služby Služba Shromažďování událostí do skupiny systému Windows AS_Administrators poskytnete službě Služba Shromažďování událostí oprávnění ke čtení konfiguračních souborů aplikací IIS umístěných v adresáři <Jednotka>\Windows\system32\inetserv\config.

Aby aplikace zahrnující služby WCF (Windows Communication Foundation) a WF (Windows Workflow Foundation) mohla být monitorována technologií Windows Server AppFabric, musí posílat události do relace Trasování událostí pro Windows, ze které služba Služba Shromažďování událostí shromažďuje události. Aby měla aplikace právo zapisovat do relace Trasování událostí pro Windows, je nutné zajistit, aby identita fondu aplikací, ve kterém daná aplikace běží, měla oprávnění k zápisu do relace Trasování událostí pro Windows. Můžete toho dosáhnout tím, že pomocí nástroje systému Windows Sledování spolehlivosti a výkonu přidáte identitu do seznamu uživatelů, kteří mají přístup k relaci Trasování událostí pro Windows. Případně můžete změnit oprávnění uživatele, aby mohl zapisovat do relace Trasování událostí pro Windows – pomocí rozhraní Win32 API EventAccessControl (https://go.microsoft.com/fwlink/?LinkId=179742).

Pokud nemá identita služby Služba Shromažďování událostí oprávnění ke čtení souboru Web.config aplikace, kterou monitoruje, vygeneruje událost s ID 130. Tato událost bude zapsána do protokolu událostí pod uzlem Microsoft-Windows-Application Server-System Services/Admin.

Oprávnění ke čtení můžete přiřadit k identitě Služba Shromažďování událostí pro soubor Web.config aplikace jedním z následujících způsobů:

  • V aplikaci Průzkumník Windows klikněte pravým tlačítkem myši na soubor Web.config, vyberte položku Vlastnosti a klikněte na kartu Zabezpečení. Přiřaďte oprávnění ke čtení k identitě používané pro službu Služba Shromažďování událostí.

    Poznámka

    Protože je nastavení zabezpečení někdy ukládáno do mezipaměti, může chvíli trvat, než budou oprávnění po udělení oprávnění ke čtení použita. Dále je možné, že bude nutné restartovat službu Služba Shromažďování událostí, aby mohla přečíst soubor Web.config s aktualizovanými oprávněními.

  • Alternativou k explicitnímu nastavení oprávnění pro čtení souboru Web.config je přesunutí aplikace do kořenové složky webu. Například pro výchozí web by toto umístění bylo <systémová_jednotka>\inetpub\wwwroot. Během vývoje můžete tuto akci provést také v aplikaci Visual Studio. Klikněte pravým tlačítkem myši na projekt a výběrem možnosti Publikovat publikujte webovou službu pomocí nástroje MSDeploy na místní server IIS (použijte možnost Localhost).

Zásady Přihlásit jako službu

V prostředí domény by měly být identity služeb, pod kterými budou služby Služba Shromažďování událostí a Správa pracovního postupu spouštěny na různých serverech ve webové farmě, ve skupině správců domény technologie AppFabric. Vzhledem k tomu, že je tato skupina vytvořena ručně správcem domény, může být její název jakýkoli. Tato skupina obvykle zahrnuje účet správce domény technologie AppFabric. Uživatelům v této skupině musí být uděleno oprávnění Přihlásit jako službu a vynuceno v doméně. Díky tomuto právu se může objekt zabezpečení přihlásit jako služba. Toto právo musí být přiřazeno každé službě spuštěné pod samostatným uživatelským účtem. Informace o tom, jak lze účtu udělit právo Přihlásit jako službu, naleznete na adrese https://go.microsoft.com/fwlink/?LinkId=192517 (stránka může být v angličtině).

  2011-12-05