監査コレクション サービスの容量計画

ACS フォワーダーからイベントを受信し、それらのイベントを ACS データベースに送信する前に、ACS コレクターのキューが使用されます。 キューに格納されるイベントの数は、監査トラフィックが高まった場合や、ACS データベースが新たなイベントを受け入れることができない場合 (データベースの削除中など) に増加します。 これらのキューが最大容量にまで至りそうになったときの ACS コレクターの対処方法は、3 つのレジストリ値を使用して制御します。

次の表に、各レジストリ エントリとその既定値の一覧を示します。 表に示すすべてのレジストリ エントリは、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters キーにあります。

使用環境に応じて、前述のレジストリ エントリの値を調整できます。 最良の結果を得るには、1 つのエントリの値を変更することによって他のエントリにどのような影響を及ぼすかについて、検討する必要があります。 たとえば、BackOffThreshold の値は、必ず、DisconnectThreshold よりも小さい値でなければなりません。このように設定することで、ACS データベースが要求に応じることができなくなったときに、ACS コレクターはパフォーマンスを低下させることができます。

ACS コレクターのメモリは、ACS データベースに書き込む必要のある ACS イベントをキャッシュするために使用されます。 ACS コレクターが必要とするメモリの容量は、接続されている ACS フォワーダーの数と、監査ポリシーによって生成されるイベントの数によって異なります。 次の数式を使用して、予想されるトラフィックに基づいて、より高い ACS パフォーマンスを得るためにより多くのメモリが必要であるかどうかを計算できます。

推奨されるメモリ容量 = (M x .5)+(50 x N)+(S x .5)+(P x .1)

次の表に、数式の変数を定義します。

ACS を通常どおりに運用している場合は、キューの長さが BackOffThreshold 値に達することはめったにありません。 キューの長さがこのしきい値に到達することが頻繁に生じる場合は、データベースで処理可能な数よりも多くのイベントが発生しているか、データベース ハードウェアのアップグレードが必要であることが考えられます。

ACS データベースに書き込むイベントの数を少なくするには、監査ポリシーを変更して生成するイベントの数を減らします。または、ACS コレクターにフィルターを適用して不要なイベントを破棄し、ACS データベースに保存する対象から外します。 また、それぞれの ACS コレクターが対応する ACS フォワーダーの数が少なくなるように、ACS コレクターと ACS データベースを追加して展開し、ACS データベースにイベントを送信する ACS フォワーダーの数を減らすこともできます。

フィルターの詳細については、「AdtAdmin.exe /SetQuery」を参照してください。 ACS コレクターがサポートできる ACS フォワーダーの数の詳細については、「Operations Manager の監査コレクション サービスを使用してセキュリティ イベントを収集する」を参照してください。

ACS を UNIX および Linux コンピューターに展開する際のパフォーマンスは、データセットが 10,000 レコードを超えると低下します。