A naplózási szolgáltatások kapacitástervezése
Közzétett: 2016. március
Érvényes: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
A naplórendek nagy mennyiségű adatot állíthatnak elő. A System Center 2012 – Operations Manager programban a jobb teljesítmény érdekében a Naplózási szolgáltatások (Audit Collection Services, ACS) gyűjtőjének beállításait a naplózás által jelentett tényleges terheléshez igazíthatja. Az ACS-gyűjtő ACS-adatbázisba írásra készen álló eseményeket tároló várólistája jelentős hatással van az ACS azon képességére, amellyel az előállított biztonsági események mennyiségének hirtelen megugrását kezelni tudja. Az ACS-gyűjtőn ennek a várólistának a kapacitása és a megfelelő mennyiségű memória biztosítása közötti egyensúly kialakítása javíthatja az ACS teljesítményét.
Az ACS-gyűjtő várólistája
Az ACS-gyűjtő várólistájában tárolja a program az ACS-továbbítóktól beérkezett eseményeket azok ACS-adatbázisba küldése előtt. A várólistán lévő események száma megnő a nagy naplóforgalmú időszakokban, illetve amikor az ACS-adatbázis – például annak ürítésekor – nem tud új eseményeket fogadni. Három beállításazonosító vezérli az ACS-gyűjtő viselkedését abban az esetben, ha a várólista eléri maximális kapacitását.
Az alábbi táblázatban láthatók a beállításjegyzékben található bejegyzések és alapértelmezett értékeik. A táblázat mindegyik bejegyzése a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters beállításkulcsban található.
Bejegyzés neve |
Alapértelmezett érték |
Leírás |
---|---|---|
MaximumQueueLength |
0x40000 |
Az adatbázisra várakozás közben a memóriabeli várólistán tárolható események maximális száma. A várólista bejegyzései átlagosan 512 bájt memóriát használnak. |
BackOffThreshold |
75 |
Ez a kulcs határozza meg, hogy az ACS-gyűjtő várólistája milyen mértékben telítődhet, mielőtt az ACS-gyűjtő visszautasítaná az ACS-továbbítóktól érkező új kapcsolatokat. Az érték a MaximumQueueLength százalékában kifejezve jelenik meg. |
DisconnectThreshold |
90 |
Ez a kulcs határozza meg, hogy az ACS-gyűjtő várólistája milyen mértékben telítődhet, mielőtt az ACS-gyűjtő elkezdené bontani a kapcsolatot az ACS-továbbítókkal. Az érték a MaximumQueueLength százalékában kifejezve jelenik meg. A gyűjtő először a legalacsonyabb prioritású ACS-továbbítókkal bontja a kapcsolatot. |
Környezetétől függően érdemes lehet az előző beállításjegyzékben található beállítások értékét módosítani. A legjobb eredmények elérése érdekében gondolja át, hogy egy érték módosítása hogyan befolyásolja a többi értéket. A BackOffThreshold értékének például mindig alacsonyabbnak kell lennie a DisconnectThreshold értékénél, mivel így biztosítható, hogy az ACS-gyűjtő fokozatosan csökkentse a teljesítményt, ha az ACS-adatbázis nem tud lépést tartani az igényekkel.
Az ACS-gyűjtő memóriája
Az ACS-gyűjtő memóriáját használja a program az ACS-adatbázisba írandó ACS-események gyorsítótárazására. Az ACS-gyűjtő által igényelt memória mennyisége eltérhet a csatlakoztatott ACS-továbbítók, valamint a naplórend által előállított események számától függően. A következő képlettel számíthatja ki a várt forgalom alapján, hogy szükség van-e több memóriára a jobb ACS-teljesítmény eléréséhez.
Memória javasolt mennyisége = (M x 0,5)+(50 x N)+(S x 0,5)+(P x 0,1)
A képlet változóit a következő táblázat tartalmazza.
Változó |
Meghatározás |
Beállításkulcs |
Bejegyzés neve |
---|---|---|---|
M |
Az ACS-gyűjtő memóriájában várakozó események maximális száma. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
MaximumQueueLength |
N |
Az ACS-gyűjtőhöz csatlakozó továbbítók száma |
A beállításjegyzékben nem található beállítás |
NA |
S |
Az ACS a karakterlánc-gyorsítótárat használja a korábban beszúrt karakterláncokhoz – például esemény-paraméterekhez – annak érdekében, hogy elkerülje az ACS-adatbázisban szereplő dtString táblák szükségtelen lekérdezését. Az ACS-gyűjtőn elérhető karakterlánc-gyorsítótár mérete a gyorsítótárban tárolható bejegyzések maximális számában kifejezve. A várólista bejegyzései átlagosan 512 bájt memóriát használnak. Ezt a gyorsítótárat a program az eseményrekord adatai számára használja. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
StringCacheSize |
P |
Az ACS-gyűjtőn elérhető taggyorsítótár mérete a gyorsítótárban tárolható bejegyzések maximális számában kifejezve. Ezt a gyorsítótárat a program az ACS-összetevőkhöz hozzáféréssel rendelkező felhasználói és számítógépfiókokhoz tartozó adatok számára használja. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
PrincipalCacheSize |
Az ACS-adatbázissal kapcsolatos javaslatok
Az ACS normál működése során a várólista hossza ritkán éri el a BackOffThreshold értékét. Amennyiben a várólista hossza gyakran eléri a küszöbértéket, akkor vagy több esemény érkezik, mint amennyit az adatbázis kezelni tudna, vagy adatbázisa hardverét frissíteni kell.
Az ACS-adatbázisba írt események számát csökkentheti a naplórend előállított események számának csökkentésére irányuló módosításával, illetve az ACS-gyűjtőre alkalmazott szűrőkkel, amelyek a szükségtelen eseményeket eldobva távol tartják azokat az ACS-adatbázistól. Csökkentheti az ACS-adatbázisnak eseményeket küldő továbbítók számát egy további ACS-gyűjtő és adatbázis üzembe állításával (így csökken az egyes ACS-gyűjtők által kiszolgált ACS-továbbítók száma).
A szűrőkkel kapcsolatos további információkat itt talál: AdtAdmin.exe /SetQuery. Az egy ACS-gyűjtő által támogatott ACS-továbbítók számával kapcsolatos további információkért lásd: Biztonsági események gyűjtése az Operations Manager programban a naplózási szolgáltatások segítségével.
UNIX és Linux rendszerekkel kapcsolatos szempontok
Az ACS UNIX és Linux rendszerű számítógépekre végzett telepítésének teljesítménye az 10 000 rekordot meghaladó méretű adathalmazok esetén csökken.
Lásd még
Biztonsági események gyűjtése az Operations Manager programban a naplózási szolgáltatások segítségével
Tanúsítványok konfigurálása az ACS gyűjtő és továbbító
Naplózási szolgáltatások biztonsága
A naplózási szolgáltatások teljesítményszámlálói
A szolgáltatások (ACS) továbbítókat naplózási gyűjtés engedélyezése
Az eseménynaplózás és az ACS szabályok Solaris és AIX számítógépek engedélyezése
ACS-események szűrése a UNIX és Linux rendszerű számítógépek
A naplózási szolgáltatások teljesítményének figyelése
Naplózási szolgáltatások (ACS) eltávolítása
A naplózási szolgáltatások adminisztrációja (AdtAdmin.exe)