Kapazitätsplanung für die Überwachungssammeldienste (ACS)
Betrifft: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Überwachungsrichtlinien können große Datenmengen erzeugen. Zur Steigerung der Leistung können Sie in System Center 2012 – Operations Manager verschiedene Einstellungen der ACS-Sammlung (Überwachungssammeldienste) ändern und so eine optimale Anpassung an die tatsächliche Überwachungsauslastung erzielen. Die Warteschlange, in der die ACS-Sammlung Ereignisse speichert, die zum Schreiben in die ACS-Datenbank bereitstehen, wirkt sich in entscheidendem Maße auf die Fähigkeit der Überwachungssammeldienste aus, ein rasch ansteigendes Aufkommen von generierten Sicherheitsereignissen zu verarbeiten. Durch einen Abgleich der Kapazität dieser Warteschlange und die Wahrung der richtigen RAM-Kapazität für die ACS-Sammlung lässt sich die Leistung der Überwachungssammeldienste verbessern.
ACS-Sammlungswarteschlange
Die ACS-Sammlungswarteschlange dient zum Speichern von Ereignissen, nachdem diese von ACS-Weiterleitungen entgegengenommen wurden, jedoch bevor sie an die ACS-Datenbank gesendet werden. Die Anzahl der Ereignisse in der Warteschlange erhöht sich in Zeiten hohen Überwachungsdatenverkehrs oder bei Nichtverfügbarkeit der ACS-Datenbank für die Annahme neuer Ereignisse, beispielsweise bei Datenbankbereinigungen. Drei Registrierungswerte bestimmen, wie die ACS-Sammlung reagiert, wenn sich diese Warteschlange ihrer maximalen Kapazität nähert.
In der folgenden Tabelle sind die einzelnen Registrierungseinträge und ihre jeweiligen Standardwerte aufgelistet. Alle Registrierungseinträge der Tabelle befinden sich im Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters der Registrierung.
Eintragsname |
Standardwert |
Beschreibung |
---|---|---|
MaximumQueueLength |
0x40000 |
Maximale Anzahl von Ereignissen, die als Datenbank-Warteschlange im Speicher möglich ist. Im Durchschnitt beansprucht jeder Warteschlangeneintrag eine Speicherkapazität von 512 Byte. |
BackOffThreshold |
75 |
Bestimmt, wie „voll“ die ACS-Sammlungswarteschlange werden darf, bevor die ACS-Sammlung neue Verbindungen von ACS-Weiterleitungen zurückweist. Dieser Wert wird als prozentualer Anteil von MaximumQueueLength ausgedrückt. |
DisconnectThreshold |
90 |
Bestimmt, wie „voll“ die ACS-Sammlungswarteschlange werden darf, bevor die ACS-Sammlung damit beginnt, Verbindungen zu ACS-Weiterleitungen zu trennen. Dieser Wert wird als prozentualer Anteil von MaximumQueueLength ausgedrückt. ACS-Weiterleitungen mit dem niedrigsten Prioritätswert werden als Erstes getrennt. |
Je nach Ihrer Umgebung kann es sinnvoll sein, den Wert eines der vorausgehenden Registrierungswerte individuell anzupassen. Bedenken Sie dabei, wie sich die Änderung eines Werts auf die übrigen Werte auswirkt. So sollte etwa der Wert von BackOffThreshold immer niedriger als der von DisconnectThreshold sein, so dass die ACS-Sammlung die Leistung problemlos reduzieren kann, wenn die ACS-Datenbank die Anforderung nicht mehr bewältigt.
ACS-Sammlungsspeicher
Der Speicher in der ACS-Sammlung dient zum Zwischenspeichern von ACS-Ereignissen, die in die ACS-Datenbank geschrieben werden sollen. Die für eine ACS-Sammlung benötigte Speicherkapazität richtet sich nach der Anzahl der verbundenen ACS-Weiterleitungen und der Anzahl der Ereignisse, die durch Ihre Überwachungsrichtlinie generiert werden. Mit der folgenden Formel können Sie je nach dem zu erwartenden Datenverkehr berechnen, ob für eine bessere ACS-Leistung mehr Speicher erforderlich ist:
Empfohlener Speicher = (M x 0,5) + (50 x N) + (S x 0,5) + (P x 0,1)
Die Formelvariablen werden in der folgenden Tabelle definiert.
Variable |
Definition |
Registrierungsschlüssel |
Eintragsname |
---|---|---|---|
M |
Maximale Anzahl der Ereignisse, die bei der ACS-Sammlung im Speicher als Warteschlange vorhanden sind |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
MaximumQueueLength |
N |
Anzahl der Weiterleitungen, die mit der ACS-Sammlung verbunden sind |
Keine Registrierungseinstellung |
N/V |
S |
ACS vermeidet anhand des Zeichenfolgencaches für zuvor eingefügte Zeichenfolgen, z. B. Ereignisparameter, unnötige Abfragen in dtString-Tabellen der ACS-Datenbank. Größe des Zeichenfolgencaches der ACS-Sammlung, ausgedrückt als maximale Anzahl der Einträge, die im Cache gespeichert werden können. Im Durchschnitt beansprucht jeder Warteschlangeneintrag eine Speicherkapazität von 512 Byte. Dieser Cache wird für Daten des Ereignisdatensatzes verwendet. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
StringCacheSize |
P |
Größe des Prinzipalcaches der ACS-Sammlung, ausgedrückt als maximale Anzahl der Einträge, die im Cache gespeichert werden können. Dieser Cache wird für Daten verwendet, die sich auf die Benutzer- und Computerkonten beziehen, die Zugriff auf ACS-Komponenten haben. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
PrincipalCacheSize |
Empfehlungen zur ACS-Datenbank
Im normalen ACS-Betrieb sollte die Länge der Warteschlange nur selten den BackOffThreshold-Wert erreichen. Wenn die Warteschlange diesen Schwellenwert häufig erreicht, liegen entweder mehr Ereignisse vor, als die Datenbank verarbeiten kann, oder die Datenbankhardware muss aktualisiert werden.
Um die Anzahl der Ereignisse zu reduzieren, die in die ACS-Datenbank geschrieben werden, können Sie Ihre Überwachungsrichtlinie dahingehend ändern, dass weniger Ereignisse generiert werden, oder Filter auf die ACS-Sammlung anwenden, die dafür sorgen, dass unnötige Ereignisse nicht in die ACS-Datenbank gelangen. Sie können aber auch die Anzahl der ACS-Weiterleitungen reduzieren, mit denen Ereignisse an die ACS-Datenbank gesendet werden, indem Sie eine zusätzliche ACS-Sammlung und -Datenbank bereitstellen, sodass von den einzelnen ACS-Sammlungen weniger ACS-Weiterleitungen verarbeitet werden.
Weitere Informationen zu Filtern finden Sie unter AdtAdmin.exe /SetQuery. Weitere Informationen zur Anzahl der von einer ACS-Sammlung unterstützten ACS-Weiterleitungen finden Sie unter Erfassen von Sicherheitsereignissen mithilfe der Überwachungssammeldienste (ACS) von Operations Manager.
Hinweise für UNIX- und Linux-Computer
Wenn die Überwachungssammeldienste (ACS) auf UNIX- oder Linux-Computern bereitgestellt werden, kommt es bei Datensätzen mit mehr als 10.000 Einträgen zu Leistungseinbußen.
Siehe auch
Erfassen von Sicherheitsereignissen mithilfe der Überwachungssammeldienste (ACS) von Operations Manager
Zertifikate für ACS-Sammlung und Weiterleitung konfigurieren
Sicherheit der Überwachungssammeldienste (ACS)
Leistungsindikatoren für die Überwachungssammeldienste (ACS)
Aktivieren der Audit Collection Services (ACS) Weiterleitungen
Aktivieren der Protokollierung und ACS-Regeln auf Solaris und AIX-Computern
ACS Filtern von Ereignissen für UNIX und Linux-Computern
Überwachen der ACS-Leistung
Audit Collection Services (ACS)entfernen
Verwaltung der Überwachungssammeldienste (AdtAdmin.exe)