Compartilhar via

  • Artigo

Planejamento de capacidade dos Serviços de Coleta de Auditoria

 

Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

As diretivas de auditoria podem gerar uma grande quantidade de dados. Para melhor desempenho no Operations Manager System Center 2012 – Operations Manager, você pode alterar as configurações no coletor de ACS (Serviços de Coleta de Auditoria) de modo a ajustá-las para a carga de auditoria real. A fila que o coletor ACS utiliza para armazenar eventos prontos para gravação no banco de dados ACS afeta consideravelmente a capacidade do ACS de lidar com um surto na quantidade de eventos de segurança gerados. Medidas como balancear a capacidade dessa fila e manter a quantidade correta de RAM no coletor ACS podem melhorar o desempenho do ACS.

Fila do coletor ACS

A fila do coletor ACS é usada para armazenar eventos após o recebimento deles de encaminhadores do ACS, mas antes de seu envio para o banco de dados ACS. O número de eventos na fila aumenta durante períodos de tráfego de auditoria intenso ou quando o banco de dados ACS não está disponível para aceitar novos eventos, por exemplo, durante a limpeza de banco de dados. Três valores do Registro controlam o modo como o coletor ACS reage quando sua fila está se aproximando da capacidade máxima.

A tabela a seguir lista cada entrada do Registro e seu valor padrão. Todas as entradas do Registro na tabela estão localizadas na chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters.

Nome da entrada

Valor padrão

Descrição

MaximumQueueLength

0x40000

O número máximo de eventos que podem ser enfileirados na memória durante a espera pelo banco de dados. Em média, cada entrada da fila consome 512 bytes de memória.

BackOffThreshold

75

O quanto cheia a fila do coletor ACS pode ficar, antes de o coletor ACS negar novas conexões de encaminhadores do ACS. Esse valor é expresso como uma porcentagem de MaximumQueueLength.

DisconnectThreshold

90

O  quanto cheia a fila do coletor ACS pode ficar, antes de o coletor ACS começar a desconectar encaminhadores do ACS. Esse valor é expresso como uma porcentagem de MaximumQueueLength. Os encaminhadores do ACS com o valor de prioridade mais baixo são desconectados primeiro.

Talvez você queira ajustar o valor de uma ou mais das entradas de Registro anteriores, dependendo do seu ambiente. Para obter os melhores resultados, considere como uma alteração do valor de uma entrada afetará o restante. Por exemplo, o valor de BackOffThreshold sempre deve ser menor do que o de DisconnectThreshold, permitindo que o coletor ACS diminua o desempenho quando o banco de dados ACS não puder acompanhar a demanda.

Memória do coletor ACS

A memória no coletor ACS é usada para armazenar em cache eventos de ACS que precisam ser gravados no banco de dados ACS. A quantidade de memória necessária para um coletor ACS pode variar dependendo do número de encaminhadores do ACS conectados e do número de eventos gerados pela sua diretiva de auditoria. Você pode usar a seguinte fórmula, com base no tráfego esperado, para calcular se há necessidade de mais memória para melhorar o desempenho do ACS:

Memória recomendada = (M x .5)+(50 x N)+(S x .5)+(P x .1)

As variáveis da fórmula são definidas na tabela a seguir.

Variável

Definição

Chave do Registro

Nome da entrada

M

O número máximo de eventos enfileirados na memória no coletor ACS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

MaximumQueueLength

N

O número de encaminhadores conectados ao coletor ACS

Sem configuração do Registro

NA

S

O ACS usa o cache da cadeia de caracteres para cadeias de caracteres inseridas anteriormente, como parâmetros de eventos, para evitar filas desnecessárias para as tabelas dtString no banco de dados ACS.

O tamanho do cache da cadeia de caracteres no coletor ACS, expresso pelo número máximo de entradas que o cache pode conter. Em média, cada entrada da fila consome 512 bytes de memória. Esse cache é usado para dados do registro de eventos.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

StringCacheSize

P

O tamanho do cache principal no coletor ACS, expresso como o número máximo de entradas que o cache pode conter. Esse cache é usado para dados que pertencem às contas de usuário e de computador que têm acesso aos componentes do ACS.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

PrincipalCacheSize

Recomendações para banco de dados ACS

Quando o ACS está funcionando normalmente, o comprimento da fila raramente deverá alcançar o valor de BackOffThreshold. Se o comprimento da fila alcançar esse limite com frequência, há mais eventos do que o banco de dados pode manipular ou o hardware do banco de dados deve ser atualizado.

Para reduzir o número de eventos gravados no banco de dados ACS, você pode alterar a diretiva de auditoria para reduzir o número de eventos gerados ou usar filtros, aplicados ao coletor ACS, para descartar os eventos desnecessários e mantê-los fora do banco de dados ACS. Também é possível reduzir o número de encaminhadores do ACS que enviam eventos ao banco de dados ACS implantando um coletor ACS e um banco de dados adicional para que menos encaminhadores do ACS sejam atendidos por cada coletor ACS.

Para obter mais informações sobre filtros, consulte AdtAdmin.exe /SetQuery. Para obter mais informações sobre o número de encaminhadores do ACS que podem ter suporte de um coletor de ACS, consulte Coletando eventos de segurança usando os serviços de coleta de auditoria no Operations Manager.

Considerações sobre UNIX e Linux

O desempenho para a implantação do ACS em computadores UNIX e Linux diminui com conjuntos de dados que excedem 10.000 registros.