Partilhar via

  • Artigo

Planeamento da Capacidade de Serviços de Recolha de Auditorias

 

Publicado: março de 2016

Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Políticas de auditoria podem gerar uma grande quantidade de dados. No System Center 2012 – Operations Manager, para um melhor desempenho, pode alterar as definições no recoletor dos Serviços de Recolha de Auditorias (ACS) para ajustar à atual carga de auditoria A fila que o recoletor ACS utiliza para armazenar eventos prontos a serem escritos na base de dados ACS, tem um impacto considerável na capacidade do ACS lidar com um aumento da quantidade de eventos de segurança gerados. Equilibrar a capacidade desta fila juntamente com a manutenção da quantidade correta de RAM no recoletor ACS, pode melhorar o desempenho do ACS.

Fila do Recoletor ACS

A fila do Recoletor ACS é utilizada para armazenar eventos após serem recebidos de reencaminhadores ACS, mas antes de serem enviados para a base de dados ACS. O número de eventos na fila aumenta durante períodos de elevado tráfego de auditoria ou quando a base de dados ACS não está disponível para aceitar novos eventos, tal como durante a depuração da base de dados. Três valores de registo controlam a forma como o recoletor ACS reage quando esta fila se aproxima da capacidade máxima.

A tabela seguinte lista cada entrada de registo e respetivo valor predefinido. Todas as entradas de registo na tabela estão localizadas na chave do registo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters.

Nome da Entrada

Valor Predefinido

Descrição

MaximumQueueLength

0x40000

O número máximo de eventos que pode colocar em fila na memória enquanto espera pela base de dados. Em média, cada entrada na fila consome 512 bytes de memória.

BackOffThreshold

75

Até que ponto a fila do Recoletor ACS pode ficar cheia antes do recoletor ACS rejeitar novas ligações de reencaminhadores ACS. Este valor é expresso como uma percentagem do MaximumQueueLength.

DisconnectThreshold

90

Até que ponto a fila do Recoletor ACS pode ficar cheia antes do recoletor ACS começar a desligar reencaminhadores ACS. Este valor é expresso como uma percentagem do MaximumQueueLength. Os reencaminhadores ACS com o valor de prioridade mais baixo são desligados primeiro.

Pode querer ajustar o valor de uma ou mais das entradas de registo anterior, consoante o ambiente. Para obter melhores resultados, deverá considerar de que forma uma alteração ao valor de uma entrada irá afetar o resto. Por exemplo, o valor do BackOffThreshold deve se sempre inferior ao do DisconnectThreshold, permitindo ao recoletor ACS diminuir corretamente o desempenho quando a base de dados ACS não conseguir acompanhar a procura.

Memória de Recoletor ACS

A memória do recoletor ACS é utilizada para colocar em cache eventos ACS que necessitam de ser escritos na base de dados ACS. A quantidade de memória necessária a um recoletor ACS pode variar, dependendo do número de reencaminhadores ACS ligados e do número de eventos gerados pela política de auditoria. Pode utilizar a seguinte fórmula, com base no tráfego esperado, para calcular se é necessária mais memória para um melhor desempenho do ACS:

Memória Recomendada = (M x .5)+(50 x N)+(S x .5)+(P x .1)

As variáveis da fórmulas estão definidas na tabela seguinte.

Vari-ável

Definição

Chave de Registo

Nome da Entrada

M

Número máximo de eventos em fila na memória no recoletor ACS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

MaximumQueueLength

N

Número de reencaminhadores ligados ao recoletor ACS

Nenhuma definição de registo

ND

S

O ACS utiliza a cache de cadeia para cadeias anteriormente inseridas, tal como parâmetros de eventos, para evitar consultas desnecessárias as tabelas de dtString da base de dados ACS.

O tamanho da cache da cadeia no recoletor ACS, expressa pelo número máximo de entradas que a cache pode conter. Em média, cada entrada na fila consome 512 bytes de memória. Esta cache é utilizada para dados de registo de eventos.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

StringCacheSize

P

O tamanho da cache principal no recoletor ACS, expressa pelo número máximo de entradas que a cache pode conter. Esta cache é utilizada para dados que dizem respeito as contas de utilizador e de computador que têm acesso a componentes do ACS.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

PrincipalCacheSize

Recomendações da Base de Dados ACS

Quando o ACS estiver a funcionar normalmente, o comprimento da fila raramente deve atingir o valor de BackOffThreshold. Se o comprimento da fila atingir frequentemente este limite, ou tem mais eventos do que a base de dados pode processar ou o hardware de base de dados precisa de ser atualizado.

Para reduzir o número de eventos escritos na base de dados ACS, aplicada ao recoletor ACS, para eliminar eventos desnecessários e mantê-los fora da base de dados ACS. Pode também reduzir o número de reencaminhadores ACS que enviam eventos para a base de dados ACS, implementando um recoletor e uma base de dados ACS adicionais para que menos reencaminhadores ACS sejam servidos por cada recoletor ACS.

Para obter mais informações sobre filtros, consulte o AdtAdmin.exe /SetQuery. Para obter mais informações sobre o número de reencaminhadores ACS que um recoletor ACS pode suportar, consulte o Recolher Eventos de Segurança Utilizando Serviços de Recolha de Auditorias no Operations Manager.

Considerações sobre UNIX e Linux

O desempenho na implementação do ACS em computadores UNIX e Linux diminui com conjuntos de dados que excedam 10 000 registos.