Microsoft 監査コレクター サービス コレクターがクライアント接続を維持できるかどうかを監視します
このモニターおよびアラートは、受信トラフィックを削減し、処理してデータベースに書き込む必要があるイベントのバッグログに対応できるようにリソースを割り当てるため、ACS コレクターがフォワーダーの接続を解除していることを示します。
以下は、このモニター状態の既定の構成の概要です。
赤色の状態:データベース キュー内のバックログに対応するためにコレクターが既存のフォワーダー セッションの接続解除を開始した場合は、赤色の状態に移行 (AdtServer 4615)
緑色の状態:コレクターが再接続を試行するフォワーダーの受け入れを開始した場合は、緑色の状態に移行 (AdtServer 4613)
赤色の状態は、次の問題を示している場合があります。
セキュリティ イベント ログ内に多数の既存のセキュリティ イベントを持つ管理対象のコンピューター (ドメイン コントローラーなど) が、初めてセキュリティ イベントを ACS コレクターに転送しようと試みています。管理対象のコンピューター上のフォワーダーが、ログ内のすべてのイベントをコレクターにすばやく転送しようとして、コレクターのデータベース キュー内にイベントがたまってしまいます。
データベースが SQL Server Standard Edition にマウントされている場合、日常のデータベース保守作業の間にデータベースがインデックス処理を実行したとき、コレクターはデータベースにデータを書き込めず、キュー内にバッグログが発生します。
この状態が 1 日中続く場合は、コレクターが現在のフォワーダー数を管理できないことを示している可能性があります。
以下の手順に従って、この問題を解決できます。
SQL Server Enterprise Edition の使用を検討します。
ACS コレクターの追加を検討します。
Target | Microsoft.SystemCenter.ACS.Collector |
Parent Monitor | Microsoft.SystemCenter.ACS.Collector.AvailabilityHealthRollup |
Category | AvailabilityHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | False |
Monitor Type | Microsoft.Windows.2SingleEventLog2StateMonitorType |
Remotable | True |
Accessibility | Internal |
RunAs | Default |
<UnitMonitor ID="Microsoft.SystemCenter.ACS.Collector.MaintainingClientConnections" Accessibility="Internal" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ParentMonitorID="Microsoft.SystemCenter.ACS.Collector.AvailabilityHealthRollup" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">
<Category>AvailabilityHealth</Category>
<OperationalStates>
<OperationalState ID="AcceptingNewClientConnections" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>
<OperationalState ID="DisconnectingClientConnections" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>
</OperationalStates>
<Configuration>
<FirstComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>
<FirstLogName>Operations Manager</FirstLogName>
<FirstExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">4615</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">AdtServer</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</FirstExpression>
<SecondComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>
<SecondLogName>Operations Manager</SecondLogName>
<SecondExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">4613</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">AdtServer</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</SecondExpression>
</Configuration>
</UnitMonitor>