Övervakar förmågan hos Microsoft Audit Collection Services Collector att underhålla klientanslutningarna
Den här övervakaren och varningen visar att ACS-insamlaren kopplar från vidarebefordrare för att minska inkommande trafik och tilldela resurser för att underhålla en eftersläpning av händelser som behöver bearbetas och skrivas till databasen.
Nedan visas en översikt över standardkonfigurationen av den här övervakaren:
Rött tillstånd: Övergång till rött tillstånd om insamlaren börjar att koppla från befintliga vidarebefordrartillstånd för att underhålla eftersläpningen i databaskön (AdtServer 4615)
Grönt tillstånd: Övergång till grönt tillstånd om insamlaren börjar godta vidarebefordrare som försöker att ansluta igen (AdtServer 4613).
Det röda tillståndet kan indikera följande:
En hanterad dator som har många befintliga säkerhetshändelser i säkerhetshändelseloggen (t.ex. en domänkontrollant) försöker att vidarebefordra säkerhetshändelser till en ACS-insamlare för första gången. Vidarebefordraren på den hanterade datorn försöker vidarebefordra alla händelser i loggen till insamlaren mycket snabbt, vilket bygger upp händelser i insamlarens databaskö.
Om databasen är monterad på SQL Server Standard Edition kan insamlaren inte skriva data till databasen under den dagliga databasunderhållsperioden när databasen utför indexeringsåtgärder, vilket ger eftersläpning i kön.
Om det här tillståndet gäller hela dagen kan det tyda på att insamlaren saknar kapacitet att hantera det aktuella antalet vidarebefordrare.
Du kan använda nedanstående steg för att lösa problemet:
Använd eventuellt SQL Server Enterprise Edition
Lägg eventuellt till fler ACS-insamlare
Target | Microsoft.SystemCenter.ACS.Collector |
Parent Monitor | Microsoft.SystemCenter.ACS.Collector.AvailabilityHealthRollup |
Category | AvailabilityHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | False |
Monitor Type | Microsoft.Windows.2SingleEventLog2StateMonitorType |
Remotable | True |
Accessibility | Internal |
RunAs | Default |
<UnitMonitor ID="Microsoft.SystemCenter.ACS.Collector.MaintainingClientConnections" Accessibility="Internal" Enabled="true" Target="Microsoft.SystemCenter.ACS.Collector" ParentMonitorID="Microsoft.SystemCenter.ACS.Collector.AvailabilityHealthRollup" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">
<Category>AvailabilityHealth</Category>
<OperationalStates>
<OperationalState ID="AcceptingNewClientConnections" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>
<OperationalState ID="DisconnectingClientConnections" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>
</OperationalStates>
<Configuration>
<FirstComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>
<FirstLogName>Operations Manager</FirstLogName>
<FirstExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">4615</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">AdtServer</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</FirstExpression>
<SecondComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>
<SecondLogName>Operations Manager</SecondLogName>
<SecondExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">4613</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">AdtServer</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</SecondExpression>
</Configuration>
</UnitMonitor>