Plánování kapacity služby Audit Collection Services
Publikováno: březen 2016
Rozsah platnosti: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Zásady auditu mohou generovat značný objem dat. V nástroji System Center 2012 – Operations Manager lze v rámci zvýšení výkonu změnit nastavení kolekce služby Audit Collection Services (ACS) podle skutečné zátěže při auditování. Fronta, kterou kolekce služby ACS používá k uložení událostí připravených k zápisu do databáze služby ACS, má značný vliv na schopnost služby ACS zpracovat nárůst množství vygenerovaných událostí zabezpečení. Výkon služby ACS lze případně zvýšit vyvažováním kapacity této fronty spolu s udržováním správné velikosti paměti RAM v kolekci služby ACS.
Fronta kolekce služby ACS
Fronta kolekce služby ACS je využívána k uložení událostí po jejich přijetí ze služby předávání ACS, avšak před jejich odesláním do databáze služby ACS. Počet událostí ve frontě se zvyšuje během období vysokého provozu při auditování, nebo pokud databáze služby ACS není k dispozici pro příjem nových událostí, např. během vyprazdňování databáze. Způsob reagování kolekce služby ACS v okamžiku, kdy se tato fronta blíží maximální kapacitě, je řízen pomocí tří hodnot registru.
V následující tabulce najdete jednotlivé položky registru a jejich výchozí hodnotu. Všechny položky registru uvedené v tabulce se nachází v klíči registru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters.
Název položky |
Výchozí hodnota |
Popis |
|---|---|---|
MaximumQueueLength |
0x40000 |
Maximální počet událostí, které mohou být v paměti zařazeny do fronty při čekání na databázi. V průměru zabírá jednotlivá položka fronty 512 bajtů v paměti. |
BackOffThreshold |
75 |
Míra možného naplnění fronty kolekce služby ACS, než kolekce služby ACS odmítne nová připojení ze služeb předávání ACS. Tato hodnota je vyjádřena v procentech hodnoty MaximumQueueLength. |
DisconnectThreshold |
90 |
Míra možného naplnění fronty kolekce služby ACS, než kolekce služby ACS začne odpojovat služby předávání ACS. Tato hodnota je vyjádřena v procentech hodnoty MaximumQueueLength. Nejdříve jsou odpojovány služby předávání ACS s nejnižší prioritou. |
V závislosti na prostředí můžete případně upravit hodnotu jedné nebo více předchozích položek registru. Chcete-li dosáhnout nejlepších výsledků, zvažte, jak se změna hodnoty určité položky projeví u ostatních položek. Hodnota položky BackOffThreshold by například měla být vždy nižší než hodnota DisconnectThreshold, aby tak kolekce služby ACS mohla řádně snížit výkon v okamžiku, kdy již databáze služby ACS nemůže nadále vyhovět požadavkům.
Paměť kolekce služby ACS
Paměť kolekce služby ACS je používána pro ukládání událostí služby ACS do mezipaměti, které jsou určeny k zápisu do databáze služby ACS. Velikost paměti vyžadované kolekcí služby ACS se může lišit v závislosti na počtu připojených služeb předávání ACS a počtu událostí vygenerovaných zásadami auditu. Následující vzorek můžete v závislosti na očekávaném provozu využít při výpočtu velikosti paměti, která bude případně potřeba pro zlepšení výkonu služby ACS:
Doporučená paměť = (M x 0,5)+(50 x N)+(S x 0,5)+(P x 0,1)
Proměnné tohoto vzorce jsou definovány v následující tabulce.
Proměnná |
Definice |
Klíč registru |
Název položky |
|---|---|---|---|
M |
Maximální počet událostí zařazených do fronty v kolekci služby ACS |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
MaximumQueueLength |
N |
Počet služeb předávání připojených ke kolekci služby ACS |
Není k dispozici žádné nastavení registru |
Není k dispozici |
S |
Služba ACS používá mezipaměť řetězců z dříve vložených řetězců (např. parametry události) pro prevenci nepotřebných dotazů směrovaných do tabulek dtString v databázi služby ACS. Velikost mezipaměti řetězců v kolekci služby ACS vyjádřená maximálním počtem položek, které lze uložit do mezipaměti. V průměru zabírá jednotlivá položka fronty 512 bajtů v paměti. Tato mezipaměť je používána pro data záznamu události. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
StringCacheSize |
P |
Velikost hlavní mezipaměti řetězců v kolekci služby ACS vyjádřená maximálním počtem položek, které lze uložit do mezipaměti. Tato mezipaměť je používána pro data náležející uživatelským a počítačovým účtům s přístupem k součástem služby ACS. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
PrincipalCacheSize |
Doporučení k databázi služby ACS
Pracuje-li služba ACS normálně, měla by délka fronty dosahovat hodnoty BackOffThreshold jen výjimečně. Dosahuje-li délka fronty této prahové hodnoty často, převažuje počet událostí možnosti zpracování v databázi, nebo je nutné upgradovat hardware databáze.
Chcete-li omezit počet událostí zapisovaných do databáze služby ACS, můžete změnit zásady auditu, a omezit tak počet vygenerovaných událostí. Nebo lze použít filtry (použité na kolekci služby ACS), pomocí nichž zahodíte nepotřebné události, která tak nebudou zapisovány do databáze služby ACS. Počet serverů ACS pro předávání, které odesílají události do databáze ACS, můžete snížit taky nasazením další databáze a kolekce služby ACS tak, aby každá kolekce služby ACS obsluhovala míň serverů ACS pro předávání.
Další informace o filtrech najdete v části AdtAdmin.exe /SetQuery. Další informace o počtu služeb předávání ACS, které lze podporovat v kolekci služby ACS, najdete v části Shromažďování událostí zabezpečení pomocí služby Audit Collection Services v nástroji Operations Manager.
Důležité informace související se systémy UNIX a Linux
Výkon se při nasazení služby ACS v počítačích se systémem UNIX a Linux snižuje u datových sad o velikosti překračující 10 000 záznamů.
Viz také
Shromažďování událostí zabezpečení pomocí služby Audit Collection Services v nástroji Operations Manager
Jak lze nakonfigurovat certifikáty pro pro kolekce ACS a předávání
Zabezpečení služby Audit Collection Services
Čítače výkonu služby Audit Collection Services
Jak povolit službu Audit Collection Services (ACS) předávání
Povolení protokolování událostí a pravidla ACS na platformě Solaris a počítače s platformou AIX
Jak filtrovat ACS události pro systém UNIX a Linux počítače
Monitorování výkonu služeb Audit Collection Services
Postup odebrání Audit Collection Services (ACS)
Správa služby Audit Collection Services (AdtAdmin.exe)