Dela via


Kapacitetsplanering i gransknings- och insamlingstjänst

 

Utgivet: mars 2016

Gäller för: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Granskningsprinciperna kan generera stora mängder data. Du kan få bättre prestanda i System Center 2012 – Operations Manager om du ändrar inställningarna i ACS-insamlaren (insamlaren för gransknings- och insamlingstjänsten) så att den anpassas till den verkliga granskningsbelastningen. Den kö som ACS-insamlaren använder för att lagra händelser som är redo att skrivas till ACS-databasen har stor inverkan på gransknings- och insamlingstjänstens förmåga att hantera en ökning i antalet genererade säkerhetshändelser. Om du balanserar kapaciteten för den här kön och samtidigt bibehåller rätt mängd RAM på ACS-insamlaren kan förbättra prestandan för gransknings- och insamlingstjänsten.

ACS-insamlarkön

ACS-insamlarkön används för att lagra händelser efter att de tas emot från ACS-vidarebefordrare, men innan de skickas till ACS-databasen. Antalet händelser i kön ökar under perioder med hög granskningstrafik eller när ACS-databasen inte kan ta emot nya händelser, till exempel under databasrensning. Tre registervärden styr hur ACS-insamlaren reagerar när kön närmar sig maximal kapacitet.

I följande tabell visas varje registerpost med sitt standardvärde. Alla registerposter i tabellen finns i nyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters i registret.

Postens namn

Standardvärde

Beskrivning

MaximumQueueLength

0x40000

Det maximala antal händelser som kan finnas i kö i minnet i väntan på databasen. I genomsnitt förbrukar varje köpost 512 byte minne.

BackOffThreshold

75

Hur full ACS-insamlarkön kan bli innan ACS-insamlaren avslår nya anslutningar från ACS-vidarebefordrare. Det här värdet uttrycks som en procent av MaximumQueueLength.

DisconnectThreshold

90

Hur full ACS-insamlarkön kan bli innan ACS-insamlaren börjar koppla från ACS-vidarebefordrare. Det här värdet uttrycks som en procent av MaximumQueueLength. ACS-vidarebefordrare med lägst prioritet kopplas bort först.

Du kan ändra värdet på en eller flera av ovan nämnda registervärden beroende på din miljö. För bästa resultat bör du tänka på hur ett ändrat värde för en post påverkar övriga. Värdet för BackOffThreshold bör till exempel alltid vara lägre än DisconnectThreshold, så att ACS-insamlaren gradvis kan sänka prestandan när ACS-databasen inte hinner med efterfrågan.

ACS-insamlarens minne

Minnet i ACS-insamlaren används för att cachelagra ACS-händelser som behöver skrivas till ACS-databasen. Mängden minne som behövs för en ACS-insamlare kan variera beroende på antalet anslutna ACS-vidarebefordrare och antalet händelser som genereras av granskningsprincipen. Du kan använda följande formel, baserad på förväntad trafik, för att beräkna var det behövs mer minne för bättra ACS-prestanda:

Rekommenderat minne = (M x ,5)+(50 x N)+(S x ,5)+(P x ,1)

Formelns variabler definieras i följande tabell.

Variabel

Förklaring

Registernyckel

Postens namn

M

Maximalt antal händelser som finns i kön i ACS-insamlarens minne

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

MaximumQueueLength

N

Antal vidarebefordrare anslutna till ACS-insamlaren

Ingen registerinställning

NA

S

Gransknings- och insamlingstjänsten använder strängcacheminnet för tidigare infogade strängar, till exempel händelseparametrar, för att undvika onödiga frågor till dtString-tabeller i ACS-databasen.

Storleken på strängcacheminnet i ACS-insamlaren, uttryckt genom det maximala antalet poster som cacheminnet har plats för. I genomsnitt förbrukar varje köpost 512 byte minne. Det här cacheminnet används för händelsedataposter.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

StringCacheSize

P

Storleken på huvudcacheminnet i ACS-insamlaren, uttryckt genom det maximala antalet poster som cacheminnet har plats för. Det här cacheminnet används för data som rör användar- och datorkonton med åtkomst till ACS-komponenter.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

PrincipalCacheSize

Rekommendationer för ACS-databas

När ACS fungerar normalt bör kölängden sällan nå BackOffThreshold-värdet. Om kölängden ofta når det här tröskelvärdet har du antingen fler händelser än databasen kan hantera, eller så behöver databasens maskinvara uppgraderas.

Du kan minska antalet händelser som skrivs till ACS-databasen genom att ändra granskningsprincipen så att antalet händelser som genereras minskar, eller använda filter tillsammans med ACS-insamlaren för att förkasta onödiga händelser och hålla dem utanför ACS-databasen. Du kan även minska antalet ACS-vidarebefordrare som skickar händelser till ACS-databasen genom att distribuera en ytterligare ACS-insamlare och databas, så att färre ACS-vidarebefordrare hanteras av respektive ACS-insamlare.

Mer information om filter finns i AdtAdmin.exe /SetQuery. Mer information om antalet ACS-vidarebefordrare som en ACS-insamlare kan ha stöd för finns i Samla in säkerhetshändelser med gransknings- och insamlingstjänst i Operations Manager.

Överväganden för UNIX- och Linux-datorer

Prestanda vid distribuering av gransknings- och insamlingstjänsten på UNIX- och Linux-datorer minskar med datauppsättningar som överstiger 10 000 poster.