Bewaakt de capaciteit van de Microsoft Audit Collection Services-collector om clientverbindingen te onderhouden
Knowledge Base article:
Samenvatting
Deze monitor en waarschuwing geven aan dat de ACS-collector de verbinding met doorstuurservers verbreekt om de hoeveelheid inkomend verkeer te beperken en bronnen te reserveren voor achterstallige gebeurtenissen die moeten worden verwerkt en vervolgens naar de database moeten worden geschreven.
Hieronder volgt een samenvatting van de standaardconfiguratie van deze monitor:
Rode status: overgang naar rode status als de collector de verbinding met bestaande doorstuurserversessies begint te verbreken om de achterstand in de databasewachtrij weg te werken (AdtServer 4615)
Groene status: overgang naar groene status als de collector doorstuurservers begint te accepteren die weer verbinding proberen te maken (AdtServer 4613).
Configuratie
De rode status kan duiden op het volgende:
Een beheerde computer met een groot aantal bestaande beveiligingsgebeurtenissen in het beveiligingsgebeurtenislogboek (zoals een domeincontroller) probeert beveiligingsgebeurtenissen voor het eerst door te sturen naar een ACS-collector. De doorstuurserver op de beheerde computer probeert vervolgens alle gebeurtenissen zeer snel door te sturen naar de collector. Hierdoor neemt het aantal gebeurtenissen in de databasewachtrij van de collector snel toe.
Als de database is gekoppeld aan SQL Server Standard Edition, kan de collector gedurende de dagelijkse periode voor databaseonderhoud, waarbij indexeringsbewerkingen worden uitgevoerd, geen gegevens naar de database schrijven waardoor een achterstand optreedt in de wachtrij.
Als deze situatie gedurende de dag aanhoudt, kan dit een indicatie zijn dat de collector onvoldoende capaciteit heeft voor het huidige aantal doorstuurservers.
Oplossingen
U kunt de onderstaande stappen uitvoeren om het probleem te verhelpen:
Overweeg het gebruik van SQL Server Enterprise Edition
Home
NLD