Delen via


Capaciteitsplanning voor Audit Collection Services

 

Gepubliceerd: maart 2016

Van toepassing op: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Door controlebeleid kan een grote hoeveelheid gegevens worden gegenereerd. Voor betere prestaties kunt u in System Center 2012 – Operations Manager instellingen van de ACS-collector (Audit Collection Services) wijzigen om ze aan te passen aan de daadwerkelijke controlebelasting. De wachtrij die door de ACS-collector wordt gebruikt voor het opslaan van gebeurtenissen die klaar zijn om naar de ACS-database te worden geschreven, heeft een aanzienlijke invloed op de mogelijkheid van ACS om een piek in de hoeveelheid gegenereerde beveiligingsgebeurtenissen te verwerken. Als de capaciteit van deze wachtrij in evenwicht wordt gebracht terwijl tegelijk de juiste hoeveelheid RAM op de ACS-collector beschikbaar blijft, kan dat de prestaties van ACS verbeteren.

ACS-collectorwachtrij

De ACS-collectorwachtrij wordt gebruikt voor het opslaan van gebeurtenissen nadat deze zijn ontvangen van ACS-doorstuurservers maar voordat ze naar de ACS-database worden verzonden. Het aantal gebeurtenissen in de wachtrij is groter tijdens perioden met veel controleverkeer of als de ACS-database niet beschikbaar is voor nieuwe gebeurtenissen, bijvoorbeeld als de database wordt leeggemaakt. Drie registerwaarden bepalen hoe de ACS-collector reageert als de maximale capaciteit van deze wachtrij bijna is bereikt.

In de volgende tabel worden de registervermeldingen en hun standaardwaarden vermeld. Alle registervermeldingen in de tabel bevinden zich in de sleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters van het register.

Naam van vermelding

Standaardwaarde

Beschrijving

MaximumQueueLength

0x40000

Het maximale aantal gebeurtenissen in de wachtrij voor het geheugen die wachten op de database. Elke wachtrijvermelding verbruikt gemiddeld 512 byte geheugen.

BackOffThreshold

75

Hoe vol de ACS-collectorwachtrij kan worden voordat de ACS-collector nieuwe verbindingen van ACS-doorstuurservers weigert. Deze waarde wordt uitgedrukt als een percentage van MaximumQueueLength.

DisconnectThreshold

90

Hoe vol de ACS-collectorwachtrij kan worden voordat de ACS-collector verbindingen van ACS-doorstuurservers begint te verbreken. Deze waarde wordt uitgedrukt als een percentage van MaximumQueueLength. De verbinding van ACS-doorstuurservers met de laagste prioriteitswaarde wordt als eerste beëindigd.

Afhankelijk van uw omgeving kunt u de waarde van een of meer van de bovenstaande registervermeldingen wijzigen. Houd er voor de beste resultaten echter rekening mee hoe een wijziging in de waarde van een vermelding invloed heeft op de andere vermeldingen. De waarde van BackOffThreshold moet bijvoorbeeld altijd lager zijn dan DisconnectThreshold, zodat de ACS-collector de prestaties zonder problemen kan verlagen als de ACS-database de aanvragen niet kan bijhouden.

ACS-collectorgeheugen

Geheugen op de ACS-collector wordt gebruikt om ACS-gebeurtenissen die naar de ACS-database moeten worden geschreven, in de cache te plaatsen. De hoeveelheid geheugen die een ACS-collector nodig heeft, kan variëren, afhankelijk van het aantal aangesloten ACS-doorstuurservers en het aantal gebeurtenissen dat door uw controlebeleid wordt gegenereerd. U kunt de volgende formule, die is gebaseerd op het verwachte verkeer, gebruiken om te berekenen of er meer geheugen nodig is voor betere ACS-prestaties:

Aanbevolen geheugen = (M x 0,5)+(50 x N)+(S x 0,5)+(P x 0,1)

De variabelen van de formule worden gedefinieerd in de volgende tabel.

Variabele

Definitie

Registersleutel

Naam van vermelding

M

Maximum aantal gebeurtenissen dat in de wachtrij voor het geheugen op de ACS-collector kan staan

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

MaximumQueueLength

N

Aantal doorstuurservers met verbinding met de ACS-collector

Geen registerinstelling

NA

S

ACS gebruikt de tekenreekscache voor eerder ingevoegde tekenreeksen, zoals gebeurtenisparameters, om onnodige query's op de dtString-tabellen in de ACS-database te voorkomen.

Omvang van de tekenreekscache op de ACS-collector, uitgedrukt in het maximale aantal vermeldingen waarvoor ruimte is in de cache. Elke wachtrijvermelding verbruikt gemiddeld 512 byte geheugen. Deze cache wordt gebruikt voor gegevens van gebeurtenisrecords.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

StringCacheSize

P

Omvang van de hoofdcache op de ACS-collector, uitgedrukt in het maximale aantal vermeldingen waarvoor ruimte is in de cache. Deze cache wordt gebruikt voor gegevens die betrekking hebben op de gebruiker en computeraccounts die toegang hebben tot ACS-onderdelen.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

PrincipalCacheSize

Aanbevelingen voor de ACS-database

Als ACS normaal werkt, zou de lengte van de wachtrij zelden de waarde van BackOffThreshold moeten bereiken. Als de lengte van de wachtrij deze drempelwaarde regelmatig bereikt, hebt u meer gebeurtenissen dan uw database kan verwerken of moet u een upgrade uitvoeren van uw databasehardware.

U kunt het aantal gebeurtenissen dat naar de ACS-database wordt geschreven, verminderen door uw controlebeleid te wijzigen zodat het aantal gegenereerde gebeurtenissen wordt verlaagd. U kunt ook filters toepassen op de ACS-collector zodat onnodige gebeurtenissen worden genegeerd en uit de ACS-database worden gehouden. Daarnaast kunt u het aantal ACS-doorstuurservers verminderen die gebeurtenissen naar de ACS-database sturen door een extra ACS-collector en -database te implementeren, zodat elke ACS-collector minder ACS-doorstuurservers hoeft te bedienen.

Zie de AdtAdmin.exe /SetQuery voor meer informatie over filters. Zie Beveiligingsgebeurtenissen verzamelen met Audit Collection Services in Operations Manager voor meer informatie over het aantal ACS-doorstuurservers dat een ACS-collector kan ondersteunen.

Overwegingen voor UNIX en Linux

Als ACS is geïmplementeerd op UNIX- en Linux-computers, worden de prestaties minder bij gegevenssets van meer dan 10.000 records.