• Cikk

A naplózási szolgáltatások kapacitástervezése

 

Közzétett: 2016. március

Érvényes: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

A naplórendek nagy mennyiségű adatot állíthatnak elő. A System Center 2012 – Operations Manager programban a jobb teljesítmény érdekében a Naplózási szolgáltatások (Audit Collection Services, ACS) gyűjtőjének beállításait a naplózás által jelentett tényleges terheléshez igazíthatja. Az ACS-gyűjtő ACS-adatbázisba írásra készen álló eseményeket tároló várólistája jelentős hatással van az ACS azon képességére, amellyel az előállított biztonsági események mennyiségének hirtelen megugrását kezelni tudja. Az ACS-gyűjtőn ennek a várólistának a kapacitása és a megfelelő mennyiségű memória biztosítása közötti egyensúly kialakítása javíthatja az ACS teljesítményét.

Az ACS-gyűjtő várólistája

Az ACS-gyűjtő várólistájában tárolja a program az ACS-továbbítóktól beérkezett eseményeket azok ACS-adatbázisba küldése előtt. A várólistán lévő események száma megnő a nagy naplóforgalmú időszakokban, illetve amikor az ACS-adatbázis – például annak ürítésekor – nem tud új eseményeket fogadni. Három beállításazonosító vezérli az ACS-gyűjtő viselkedését abban az esetben, ha a várólista eléri maximális kapacitását.

Az alábbi táblázatban láthatók a beállításjegyzékben található bejegyzések és alapértelmezett értékeik. A táblázat mindegyik bejegyzése a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters beállításkulcsban található.

Bejegyzés neve

Alapértelmezett érték

Leírás

MaximumQueueLength

0x40000

Az adatbázisra várakozás közben a memóriabeli várólistán tárolható események maximális száma. A várólista bejegyzései átlagosan 512 bájt memóriát használnak.

BackOffThreshold

75

Ez a kulcs határozza meg, hogy az ACS-gyűjtő várólistája milyen mértékben telítődhet, mielőtt az ACS-gyűjtő visszautasítaná az ACS-továbbítóktól érkező új kapcsolatokat. Az érték a MaximumQueueLength százalékában kifejezve jelenik meg.

DisconnectThreshold

90

Ez a kulcs határozza meg, hogy az ACS-gyűjtő várólistája milyen mértékben telítődhet, mielőtt az ACS-gyűjtő elkezdené bontani a kapcsolatot az ACS-továbbítókkal. Az érték a MaximumQueueLength százalékában kifejezve jelenik meg. A gyűjtő először a legalacsonyabb prioritású ACS-továbbítókkal bontja a kapcsolatot.

Környezetétől függően érdemes lehet az előző beállításjegyzékben található beállítások értékét módosítani. A legjobb eredmények elérése érdekében gondolja át, hogy egy érték módosítása hogyan befolyásolja a többi értéket. A BackOffThreshold értékének például mindig alacsonyabbnak kell lennie a DisconnectThreshold értékénél, mivel így biztosítható, hogy az ACS-gyűjtő fokozatosan csökkentse a teljesítményt, ha az ACS-adatbázis nem tud lépést tartani az igényekkel.

Az ACS-gyűjtő memóriája

Az ACS-gyűjtő memóriáját használja a program az ACS-adatbázisba írandó ACS-események gyorsítótárazására. Az ACS-gyűjtő által igényelt memória mennyisége eltérhet a csatlakoztatott ACS-továbbítók, valamint a naplórend által előállított események számától függően. A következő képlettel számíthatja ki a várt forgalom alapján, hogy szükség van-e több memóriára a jobb ACS-teljesítmény eléréséhez.

Memória javasolt mennyisége = (M x 0,5)+(50 x N)+(S x 0,5)+(P x 0,1)

A képlet változóit a következő táblázat tartalmazza.

Változó

Meghatározás

Beállításkulcs

Bejegyzés neve

M

Az ACS-gyűjtő memóriájában várakozó események maximális száma.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

MaximumQueueLength

N

Az ACS-gyűjtőhöz csatlakozó továbbítók száma

A beállításjegyzékben nem található beállítás

NA

S

Az ACS a karakterlánc-gyorsítótárat használja a korábban beszúrt karakterláncokhoz – például esemény-paraméterekhez – annak érdekében, hogy elkerülje az ACS-adatbázisban szereplő dtString táblák szükségtelen lekérdezését.

Az ACS-gyűjtőn elérhető karakterlánc-gyorsítótár mérete a gyorsítótárban tárolható bejegyzések maximális számában kifejezve. A várólista bejegyzései átlagosan 512 bájt memóriát használnak. Ezt a gyorsítótárat a program az eseményrekord adatai számára használja.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

StringCacheSize

P

Az ACS-gyűjtőn elérhető taggyorsítótár mérete a gyorsítótárban tárolható bejegyzések maximális számában kifejezve. Ezt a gyorsítótárat a program az ACS-összetevőkhöz hozzáféréssel rendelkező felhasználói és számítógépfiókokhoz tartozó adatok számára használja.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

PrincipalCacheSize

Az ACS-adatbázissal kapcsolatos javaslatok

Az ACS normál működése során a várólista hossza ritkán éri el a BackOffThreshold értékét. Amennyiben a várólista hossza gyakran eléri a küszöbértéket, akkor vagy több esemény érkezik, mint amennyit az adatbázis kezelni tudna, vagy adatbázisa hardverét frissíteni kell.

Az ACS-adatbázisba írt események számát csökkentheti a naplórend előállított események számának csökkentésére irányuló módosításával, illetve az ACS-gyűjtőre alkalmazott szűrőkkel, amelyek a szükségtelen eseményeket eldobva távol tartják azokat az ACS-adatbázistól. Csökkentheti az ACS-adatbázisnak eseményeket küldő továbbítók számát egy további ACS-gyűjtő és adatbázis üzembe állításával (így csökken az egyes ACS-gyűjtők által kiszolgált ACS-továbbítók száma).

A szűrőkkel kapcsolatos további információkat itt talál: AdtAdmin.exe /SetQuery. Az egy ACS-gyűjtő által támogatott ACS-továbbítók számával kapcsolatos további információkért lásd: Biztonsági események gyűjtése az Operations Manager programban a naplózási szolgáltatások segítségével.

UNIX és Linux rendszerekkel kapcsolatos szempontok

Az ACS UNIX és Linux rendszerű számítógépekre végzett telepítésének teljesítménye az 10 000 rekordot meghaladó méretű adathalmazok esetén csökken.