监视 Microsoft 审核收集器服务收集器维护客户端连接这一功能
该监视器和警报指明 ACS 收集器与转发器之间的连接断开,以减少传入流量和为需要处理和写入数据库的事件积压服务分配资源。
以下是此监视器的默认配置摘要:
“红色状态”: 如果由于为数据库队列的积压工作提供服务 (AdtServer 4615) 而使收集器与现有转发器会话断开连接,则会切换为红色状态
“绿色状态”: 如果收集器尝试与转发器重新建立连接 (AdtServer 4613),则会切换为绿色状态。
红色状态指明以下情况:
管理的计算机上的安全事件日志(例如,域控制器)内有大量现有安全事件,首先尝试将安全事件转发到 ACS 收集器。 管理的计算机上的转发器非常快速地尝试将日志中的所有事件转发到收集器,从而引起收集器数据库队列中的事件构建。
如果数据库上安装有 SQL Server Standard Edition,则在每日数据库维护期间当数据库执行索引操作时收集器无法将数据写入数据库中,从而引起队列中的积压。
如果条件在一天内出现不一致,则指明收集器可能没有足够容量来管理当前数量的转发器。
你可以使用以下步骤来解决此问题:
请考虑使用 SQL Server Enterprise Edition
请考虑添加更多的 ACS 收集器
Target | Microsoft.SystemCenter.ACS.Collector |
Parent Monitor | Microsoft.SystemCenter.ACS.Collector.AvailabilityHealthRollup |
Category | AvailabilityHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | False |
Monitor Type | Microsoft.Windows.2SingleEventLog2StateMonitorType |
Remotable | True |
Accessibility | Internal |
RunAs | Default |
<UnitMonitor ID="Microsoft.SystemCenter.ACS.Collector.MaintainingClientConnections" Accessibility="Internal" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ParentMonitorID="Microsoft.SystemCenter.ACS.Collector.AvailabilityHealthRollup" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">
<Category>AvailabilityHealth</Category>
<OperationalStates>
<OperationalState ID="AcceptingNewClientConnections" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>
<OperationalState ID="DisconnectingClientConnections" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>
</OperationalStates>
<Configuration>
<FirstComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>
<FirstLogName>Operations Manager</FirstLogName>
<FirstExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">4615</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">AdtServer</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</FirstExpression>
<SecondComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>
<SecondLogName>Operations Manager</SecondLogName>
<SecondExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">4613</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">AdtServer</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</SecondExpression>
</Configuration>
</UnitMonitor>