Audit Collection Services 용량 계획
적용 대상: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
감사 정책을 통해 많은 양의 데이터가 생성될 수 있습니다.System Center 2012 - Operations Manager에서는 실제 발생하는 감사 부하에 맞게 ACS(Audit Collection Services) 수집기 설정을 변경하여 성능을 향상시킬 수 있습니다. ACS 수집기에서 ACS 데이터베이스에 기록할 이벤트를 저장하는 데 사용하는 큐는 생성되는 보안 이벤트 양의 급격한 증가를 처리할 수 있는 ACS의 기능에 많은 영향을 줍니다. ACS 수집기에서 적정량의 RAM을 유지하는 동시에 이러한 큐 용량의 균형을 유지하면 ACS의 성능을 향상시킬 수 있습니다.
ACS 수집기 큐
ACS 수집기 큐는 이벤트가 ACS 전달자에 수신된 후이면서 ACS 데이터베이스로 전송되기 전에 이벤트를 저장하는 데 사용됩니다. 큐에 있는 이벤트의 수는 감사 트래픽이 높은 기간 동안 또는 데이터베이스 제거 중과 같이 ACS 데이터베이스에서 새 이벤트를 허용할 수 없는 경우에 증가합니다. 세 가지 레지스트리 값을 사용하여 이러한 큐가 최대 용량에 가까워질 때 ACS 수집기가 반응하는 방식을 제어할 수 있습니다.
다음 표에는 각 레지스트리 항목과 해당 기본값이 나와 있습니다. 표에 나열된 레지스트리 항목은 모두 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters 레지스트리 키에 있습니다.
항목 이름 |
기본값 |
설명 |
|---|---|---|
MaximumQueueLength |
0x40000 |
데이터베이스를 기다리는 동안 메모리에서 대기할 수 있는 최대 이벤트 수입니다. 평균적으로 각 큐 항목에서는 512바이트의 메모리를 소비합니다. |
BackOffThreshold |
75 |
ACS 수집기가 ACS 전달자로부터의 새 연결을 거부하기 전에 ACS 수집기 큐가 채워질 수 있는 양입니다. 이 값은 MaximumQueueLength의 백분율로 표현됩니다. |
DisconnectThreshold |
90 |
ACS 수집기가 ACS 전달자와의 연결을 끊기 전에 ACS 수집기 큐가 채워질 수 있는 양입니다. 이 값은 MaximumQueueLength의 백분율로 표현됩니다. 우선 순위 값이 가장 낮은 ACS 전달자부터 연결이 끊어집니다. |
사용자 환경에 따라 위의 레지스트리 항목 값 중 하나 이상을 조정할 수 있습니다. 최상의 결과를 위해서는 하나의 항목 값을 변경할 경우 나머지 항목 값에 어떤 영향을 주는지 고려해야 합니다. 예를 들어 ACS 데이터베이스가 요구를 충족할 수 없는 경우 ACS 수집기 성능이 적절하게 저하되도록 BackOffThreshold 값은 항상 DisconnectThreshold보다 작아야 합니다.
ACS 수집기 메모리
ACS 수집기 메모리는 ACS 데이터베이스에 기록해야 하는 ACS 이벤트를 캐싱하는 데 사용됩니다. ACS 수집기에 필요한 메모리 양은 연결된 ACS 전달자 수와 감사 정책에 의해 생성된 이벤트 수에 따라 달라질 수 있습니다. 예상 트래픽을 기초로 다음 수식을 사용하여 ACS 성능 향상을 위해 추가 메모리가 필요한지 여부를 계산할 수 있습니다.
권장 메모리 = (M x 0.5)+(50 x N)+(S x 0.5)+(P x 0.1)
수식 변수는 다음 표에 정의되어 있습니다.
변수 |
정의 |
레지스트리 키 |
항목 이름 |
|---|---|---|---|
M |
ACS 수집기의 메모리에서 대기 중인 최대 이벤트 수 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
MaximumQueueLength |
N |
ACS 수집기에 연결된 전달자 수 |
레지스트리 문자열 없음 |
해당 없음 |
S |
ACS에서는 이벤트 매개 변수와 같이 이전에 삽입된 문자열의 문자열 캐시를 사용하여 ACS 데이터베이스의 dtString 테이블에 대한 불필요한 쿼리를 방지합니다. 캐시에서 유지할 수 있는 최대 항목 수로 표현되는 ACS 수집기의 문자열 캐시 크기. 평균적으로 각 큐 항목에서는 512바이트의 메모리를 소비합니다. 이 캐시는 이벤트 레코드 데이터에 사용됩니다. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
StringCacheSize |
P |
캐시에서 유지할 수 있는 최대 항목 수로 표현되는 ACS 수집기의 사용자 캐시 크기. 이 캐시는 ACS 구성 요소에 대한 액세스 권한을 가진 사용자 및 컴퓨터 계정 관련 데이터에 사용됩니다. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters |
PrincipalCacheSize |
ACS 데이터베이스 권장 사항
ACS가 정상적으로 작동할 때는 큐 길이가 BackOffThreshold 값에 거의 도달하지 않습니다. 큐 길이가 이 임계값에 자주 도달하는 경우에는 이벤트 수가 데이터베이스에서 처리할 수 있는 양보다 많거나 데이터베이스 하드웨어를 업그레이드해야 합니다.
ACS 데이터베이스에 기록되는 이벤트 수를 줄이려면 생성되는 이벤트가 감소하도록 감사 정책을 변경하거나 ACS 수집기에서 적용된 필터를 사용하여 불필요한 이벤트를 삭제하고 ACS 데이터베이스와 분리해 두어야 합니다. 또한 추가 ACS 수집기 및 데이터베이스를 배포하여 각 ACS 수집기에서 처리하는 ACS 전달자 수를 줄이는 방식으로 ACS 데이터베이스에 이벤트를 보내는 ACS 전달자 수를 감소시킬 수 있습니다.
필터에 대한 자세한 내용은 AdtAdmin.exe /SetQuery를 참조하십시오. ACS 수집기에서 지원할 수 있는 ACS 전달자 수에 대한 자세한 내용은 Operations Manager에서 ACS(Audit Collection Services)를 사용하여 보안 이벤트 수집을 참조하십시오.
UNIX 및 Linux 고려 사항
UNIX 및 Linux 컴퓨터에 ACS를 배포할 경우 10,000개 레코드를 초과하는 데이터 세트에서 성능이 저하됩니다.
참고 항목
Operations Manager에서 ACS(Audit Collection Services)를 사용하여 보안 이벤트 수집
전달자와 ACS 수집기에 인증서를 구성 하는 방법
Audit Collection Services 보안
Audit Collection Services 성능 카운터
감사 수집 사용 하는 방법 서비스 (ACS) 전달자
이벤트 로깅 및 Solaris와 AIX 컴퓨터에서 ACS 규칙을 설정 하는 방법
UNIX 및 Linux 컴퓨터에 대 한 ACS 이벤트를 필터링 하는 방법
Audit Collection Services 성능 모니터링
감사 수집 서비스 (ACS)를 제거 하는 방법
Audit Collection Services 관리(AdtAdmin.exe)