Qual é a melhor maneira de acompanhar as alterações que as pessoas estão fazendo em seus servidores?

Oi pessoal,

Eu trabalho em uma empresa com um punhado de servidores Windows em produção executando nosso software como uma oferta de serviço. No meio do processo, fizemos várias alterações, como a criação de novos bancos de dados, a movimentação de arquivos de bancos de dados, a configuração de logins e a ativação / desativação de serviços do Windows. Não sou a única pessoa que faz alterações e é bem possível que, se algo der errado, a pessoa que estiver investigando não esteja ciente de quais alterações foram aplicadas recentemente. Na maioria das vezes, não acho que seja um problema, pois somos bastante cautelosos em mudar alguma coisa, as mudanças geralmente ocorrem em horários definidos (quando estamos atualizando nosso próprio software etc.) e os problemas geralmente são facilmente rastreados.

No entanto, ocorre-me que registrar as mudanças que as pessoas fizeram, quando e por que podem ser úteis, se não para rastrear problemas, para reconstruir essas máquinas, se precisarmos algum tempo. Como os outros lidam com isso?

Você precisa de burocracia como um CMDB ! , talvez .. mas não é uma bala de prata. A ferramenta mais barata com a qual você pode começar é o MS word ou um wiki.

Os servidores em produção precisam estar sob controle de alterações, as mudanças não devem estar acontecendo por muito tempo.

Você precisa decidir o nível certo de burocracia para o seu negócio.

Por que várias pessoas estão fazendo alterações para produzir em um ambiente tão pequeno? Talvez seja hora de introduzir uma clara separação de funções e ter uma pessoa de produção que tenha acesso de administrador e executar todas as alterações.

Para reconstruir máquinas, você pode fazer algo simples, como um 'guia de construção', se criar muitos servidores ligeiramente diferentes, depois ter um guia genérico e preencher os espaços em branco para servidores específicos.

Você também deve ter seu plano de recuperação de desastre documentado, para que a empresa saiba o que fazer se um servidor / dados for perdido.

Instituir um procedimento completo de implantação, incluindo o uso de um CMBD de algum tipo (seja o C para alteração ou configuração), é um ótimo primeiro passo. Nick definitivamente o cobriu bem em sua resposta . Processo e procedimento ajudam com as alterações legítimas e intencionais.

Eu também recomendaria procurar em uma ferramenta de monitoramento de configuração como o Tripwire . Esses tipos de sistemas utilizam o MDB C (onfiguration) e alertam sempre que um dispositivo se desvia. Não apenas ajudará os administradores de sistemas, pois detecta o caso em que alguém acidentalmente desativa a HA ao provisionar uma nova VM; mas também deixará sua equipe de segurança satisfeita quando um administrador de domínio não autorizado adicionar seu amigo ao grupo financeiro.