Una domanda che a volte può sorgere spontanea, soprattutto in realtà multi-admin, è la seguente: posso sapere chi ha fatto una modifica al mio software di backup? L’audit operativo è sempre più richiesto in ambito IT, perchè se è giusto sapere cosa fanno i nostri utenti è altrettanto importante se qualche amministratore effettua modifiche ai server oppure ai software.
All’interno di Veeam Backup & Replication questa operazione di audit è gestibile tramite i log scritti all’interno dell’event viewer di Windows. Nella cartella Veeam Backup è possibile trovare tutte le attività relative al nostro software di backup; per andare ad analizzare la parte di audit, bisogna soffermarci sui seguenti EventID 23010, 23050, 23090, rispettivamente legati a Creazione, Modifica, Eliminazione dei Job.
E’ possibile anche visualizzarli tramite PowerShell, utilizzando il seguente cmdlet:
$Date = Get-Date 01/02/2016
$VeeamServer = “srv-veeam”
$colItems = Get-EventLog -LogName “Veeam Backup” -Source “Veeam MP” -After $Date -EntryType Information -ComputerName $VeeamServer | Where InstanceId -like ‘230*’ | Select-Object TimeGenerated,InstanceId,Message
{
23010 {Write-Host $objItem.TimeGenerated, – , $objItem.Message}
23050 {Write-Host $objItem.TimeGenerated, – , $objItem.Message -ForegroundColor Yellow}
23090 {Write-Host $objItem.TimeGenerated, – , $objItem.Message -ForegroundColor Red}
}
}
Chiaramente possiamo utilizzare anche un software di raccolta log, come System Center Operations Manager, utilizzando questa guida: http://www.insidetechnologies.eu/it/blog/sc-operations-manager-collezionare-eventi-custom/