Capaciteitsplanning voor Audit Collection Services
Gepubliceerd: maart 2016
Van toepassing op: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Door controlebeleid kan een grote hoeveelheid gegevens worden gegenereerd. Voor betere prestaties kunt u in System Center 2012 – Operations Manager instellingen van de ACS-collector (Audit Collection Services) wijzigen om ze aan te passen aan de daadwerkelijke controlebelasting. De wachtrij die door de ACS-collector wordt gebruikt voor het opslaan van gebeurtenissen die klaar zijn om naar de ACS-database te worden geschreven, heeft een aanzienlijke invloed op de mogelijkheid van ACS om een piek in de hoeveelheid gegenereerde beveiligingsgebeurtenissen te verwerken. Als de capaciteit van deze wachtrij in evenwicht wordt gebracht terwijl tegelijk de juiste hoeveelheid RAM op de ACS-collector beschikbaar blijft, kan dat de prestaties van ACS verbeteren.
ACS-collectorwachtrij
De ACS-collectorwachtrij wordt gebruikt voor het opslaan van gebeurtenissen nadat deze zijn ontvangen van ACS-doorstuurservers maar voordat ze naar de ACS-database worden verzonden. Het aantal gebeurtenissen in de wachtrij is groter tijdens perioden met veel controleverkeer of als de ACS-database niet beschikbaar is voor nieuwe gebeurtenissen, bijvoorbeeld als de database wordt leeggemaakt. Drie registerwaarden bepalen hoe de ACS-collector reageert als de maximale capaciteit van deze wachtrij bijna is bereikt.
In de volgende tabel worden de registervermeldingen en hun standaardwaarden vermeld. Alle registervermeldingen in de tabel bevinden zich in de sleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters van het register.
Naam van vermelding |
Standaardwaarde |
Beschrijving |
|---|---|---|
MaximumQueueLength |
0x40000 |
Het maximale aantal gebeurtenissen in de wachtrij voor het geheugen die wachten op de database. Elke wachtrijvermelding verbruikt gemiddeld 512 byte geheugen. |
BackOffThreshold |
75 |
Hoe vol de ACS-collectorwachtrij kan worden voordat de ACS-collector nieuwe verbindingen van ACS-doorstuurservers weigert. Deze waarde wordt uitgedrukt als een percentage van MaximumQueueLength. |
DisconnectThreshold |
90 |
Hoe vol de ACS-collectorwachtrij kan worden voordat de ACS-collector verbindingen van ACS-doorstuurservers begint te verbreken. Deze waarde wordt uitgedrukt als een percentage van MaximumQueueLength. De verbinding van ACS-doorstuurservers met de laagste prioriteitswaarde wordt als eerste beëindigd. |
Afhankelijk van uw omgeving kunt u de waarde van een of meer van de bovenstaande registervermeldingen wijzigen. Houd er voor de beste resultaten echter rekening mee hoe een wijziging in de waarde van een vermelding invloed heeft op de andere vermeldingen. De waarde van BackOffThreshold moet bijvoorbeeld altijd lager zijn dan DisconnectThreshold, zodat de ACS-collector de prestaties zonder problemen kan verlagen als de ACS-database de aanvragen niet kan bijhouden.
ACS-collectorgeheugen
Geheugen op de ACS-collector wordt gebruikt om ACS-gebeurtenissen die naar de ACS-database moeten worden geschreven, in de cache te plaatsen. De hoeveelheid geheugen die een ACS-collector nodig heeft, kan variëren, afhankelijk van het aantal aangesloten ACS-doorstuurservers en het aantal gebeurtenissen dat door uw controlebeleid wordt gegenereerd. U kunt de volgende formule, die is gebaseerd op het verwachte verkeer, gebruiken om te berekenen of er meer geheugen nodig is voor betere ACS-prestaties:
Aanbevolen geheugen = (M x 0,5)+(50 x N)+(S x 0,5)+(P x 0,1)
De variabelen van de formule worden gedefinieerd in de volgende tabel.
Variabele |
Definitie |
Registersleutel |
Naam van vermelding |
|---|---|---|---|
M |
Maximum aantal gebeurtenissen dat in de wachtrij voor het geheugen op de ACS-collector kan staan |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
MaximumQueueLength |
N |
Aantal doorstuurservers met verbinding met de ACS-collector |
Geen registerinstelling |
NA |
S |
ACS gebruikt de tekenreekscache voor eerder ingevoegde tekenreeksen, zoals gebeurtenisparameters, om onnodige query's op de dtString-tabellen in de ACS-database te voorkomen. Omvang van de tekenreekscache op de ACS-collector, uitgedrukt in het maximale aantal vermeldingen waarvoor ruimte is in de cache. Elke wachtrijvermelding verbruikt gemiddeld 512 byte geheugen. Deze cache wordt gebruikt voor gegevens van gebeurtenisrecords. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
StringCacheSize |
P |
Omvang van de hoofdcache op de ACS-collector, uitgedrukt in het maximale aantal vermeldingen waarvoor ruimte is in de cache. Deze cache wordt gebruikt voor gegevens die betrekking hebben op de gebruiker en computeraccounts die toegang hebben tot ACS-onderdelen. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
PrincipalCacheSize |
Aanbevelingen voor de ACS-database
Als ACS normaal werkt, zou de lengte van de wachtrij zelden de waarde van BackOffThreshold moeten bereiken. Als de lengte van de wachtrij deze drempelwaarde regelmatig bereikt, hebt u meer gebeurtenissen dan uw database kan verwerken of moet u een upgrade uitvoeren van uw databasehardware.
U kunt het aantal gebeurtenissen dat naar de ACS-database wordt geschreven, verminderen door uw controlebeleid te wijzigen zodat het aantal gegenereerde gebeurtenissen wordt verlaagd. U kunt ook filters toepassen op de ACS-collector zodat onnodige gebeurtenissen worden genegeerd en uit de ACS-database worden gehouden. Daarnaast kunt u het aantal ACS-doorstuurservers verminderen die gebeurtenissen naar de ACS-database sturen door een extra ACS-collector en -database te implementeren, zodat elke ACS-collector minder ACS-doorstuurservers hoeft te bedienen.
Zie de AdtAdmin.exe /SetQuery voor meer informatie over filters. Zie Beveiligingsgebeurtenissen verzamelen met Audit Collection Services in Operations Manager voor meer informatie over het aantal ACS-doorstuurservers dat een ACS-collector kan ondersteunen.
Overwegingen voor UNIX en Linux
Als ACS is geïmplementeerd op UNIX- en Linux-computers, worden de prestaties minder bij gegevenssets van meer dan 10.000 records.
Zie ook
Beveiligingsgebeurtenissen verzamelen met Audit Collection Services in Operations Manager
Certficates voor ACS-Collector en doorstuurserver configureren
Beveiliging van Audit Collection Services
Audit Collection Services-prestatiemeteritems
Het inschakelen van Audit Collection Services-doorstuurservers (ACS)
Het inschakelen van logboekregistratie en ACS-regels op Solaris en AIX-Computers
Het filteren van de ACS-gebeurtenissen voor UNIX en Linux-Computers
Audit Collection Services-prestaties bewaken
Het verwijderen van Audit Collection Services (ACS)
Beheer van Audit Collection Services (AdtAdmin.exe)