Planificación de la capacidad de los servicios de recopilación de auditorías

 

Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Las directivas de auditoría pueden generar un gran volumen de datos. En System Center 2012 – Operations Manager, para mejorar el rendimiento, puede cambiar la configuración del recopilador de los Servicios de recopilación de auditorías (ACS) para ajustarla a la carga de auditoría real. La cola que el recopilador de ACS usa para almacenar eventos que están preparados para escribirse en la base de datos de ACS tiene importantes consecuencias en la capacidad de ACS para gestionar un aumento repentino de la cantidad de eventos de seguridad generados. Equilibrar la capacidad de esta cola y mantener una cantidad correcta de RAM en el recopilador de ACS pueden mejorar el rendimiento de ACS.

Cola del recopilador de ACS

La cola del recopilador de ACS sirve para almacenar eventos recibidos de los reenviadores de ACS pero antes de ser enviados a la base de datos de ACS. El número de eventos de la cola aumenta durante los períodos de mucho tráfico de auditoría o cuando la base de datos no está disponible para aceptar nuevos eventos, como por ejemplo, al purgar la base de datos. Tres valores del registro controlan la forma en que el recopilador de ACS reacciona cuando la cola está a punto de alcanzar su capacidad máxima.

En la tabla siguiente se muestran las entradas del registro y el valor predeterminado. Todas las entradas del registro de la tabla se encuentran en la clave del registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters.

Nombre de la entrada

Valor predeterminado

Descripción

MaximumQueueLength

0x40000

El número máximo de eventos que se pueden poner en cola en la memoria a la espera de la base de datos. Como media, cada entrada de cola consume 512 bytes de memoria.

BackOffThreshold

75

Indica la capacidad máxima que admite la cola del recopilador de ACS antes de que éste rechace nuevas conexiones de los reenviadores de ACS. Este valor se expresa como un porcentaje de MaximumQueueLength.

DisconnectThreshold

90

Indica la capacidad máxima que admite la cola del recopilador de ACS antes de que éste empiece a desconectar a los reenviadores de ACS. Este valor se expresa como un porcentaje de MaximumQueueLength. Los reenviadores de ACS con los valores de prioridad inferiores son los primeros en desconectarse.

Se recomienda ajustar el valor de alguna o varias de las entradas del registro en función del entorno. Para obtener unos resultados óptimos, deben tener en cuenta la forma en que el cambio del valor de una entrada afectará a las demás. Por ejemplo, el valor de BackOffThreshold debe ser siempre inferior al de DisconnectThreshold, de modo que el recopilador de ACS pueda disminuir fácilmente el rendimiento cuando la base de datos de ACS no pueda seguir el ritmo de la demanda.

Memoria del recopilador de ACS

La memoria del recopilador de ACS se usa para almacenar en caché los eventos de ACS que deban escribirse en la base de datos de ACS. La cantidad de memoria que necesita un recopilador de ACS puede variar en función del número de reenviadores de ACS conectados y del número de eventos generados por la directiva de auditoría. Puede usar la fórmula siguiente, en función del tráfico previsto, para calcular la memoria necesaria para mejorar el rendimiento de ACS:

Memoria recomendada = (M x .5)+(50 x N)+(S x .5)+(P x .1)

Las variables de la fórmula se definen en la tabla siguiente.

Variable

Definición

Clave del registro

Nombre de la entrada

M

Número máximo de eventos en cola en la memoria del recopilador de ACS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

MaximumQueueLength

No

Número de reenviadores conectados al recopilador de ACS

No hay valor del registro

N/D

S

ACS usa la caché de cadenas para las cadenas insertadas anteriormente, como los parámetros de eventos, para evitar consultas innecesarias a las tablas dtString de la base de datos de ACS.

Tamaño de la caché de cadenas del recopilador de ACS, expresado mediante el número máximo de entradas que puede tener la caché. Como media, cada entrada de cola consume 512 bytes de memoria. Esta caché puede usarse para los datos del registro de eventos.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

StringCacheSize

P

Tamaño de la caché principal del recopilador de ACS, expresado como el número máximo de entradas que puede tener la caché. Esta caché puede usarse para los datos que pertenecen a las cuentas de usuario y de equipo que tienen acceso a los componentes de ACS.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters

PrincipalCacheSize

Recomendaciones para la base de datos de ACS

Cuando ACS funciona correctamente, la longitud de la cola no debe alcanzar el valor BackOffThreshold. Si la longitud de la cola alcanza con frecuencia dicho umbral, existen más eventos de los que puede gestionar la base de datos o bien el hardware de la base de datos necesita una actualización.

Para reducir el número de eventos escritos en la base de datos de ACS, puede cambiar su directiva de auditoría para reducir el número de eventos generados o usar filtros, que deben aplicarse al recopilador de ACS, a fin de descartar los eventos innecesarios y mantenerlos fuera de la base de datos de ACS. También puede reducir el número de reenviadores de ACS que envíen eventos a la base de datos de ACS si se implantan un recopilador y una base de datos de ACS adicionales, de modo que cada recopilador de ACS dé servicio a un número menor de reenviadores de ACS.

Para obtener información acerca de los filtros, consulte AdtAdmin.exe /SetQuery. Para obtener más información acerca del número de reenviadores de ACS que puede admitir un recopilador de ACS, consulte Recopilación de eventos de seguridad con servicios de recopilación de auditorías en Operations Manager.

Consideraciones sobre UNIX y Linux

El rendimiento para la implementación de ACS en equipos UNIX y Linux disminuye con conjuntos de datos que superen los 10.000 registros.