对于 CA Enterprise Log Manager 集成,报告代理会定期从审核日志文件中收集端点审核消息,然后将这些事件传递到配置的分发服务器上的审核队列。 可以通过调整报告代理设置来影响性能。
注意:报告代理是 CA ControlMinder 企业报告服务的一部分,还负责发送数据库快照以用于端点报告。 此进程只说明报告代理为将审核事件传递到 CA Enterprise Log Manager 而执行的操作。
当您启用了审核收集时(将 audit_enabled 配置设置设为 1),报告代理会执行以下操作:
报告代理会读取您在 audit_read_chunk 配置设置中定义的审核记录数,然后在等待 audit_sleep 配置设置中定义的持续时间之后再次读取审核文件。 报告代理会读取活动审核日志和所有备份审核文件中之前的未读记录。 然后记住满足在审核筛选文件中定义的审核筛选的记录(audit_filter 配置设置)。
如果满足以下条件之一,报告代理将发送审核记录:
示例:审核收集和传递的默认报告代理设置
此示例说明了我们如何设置默认报告代理配置设置,为何种环境设置这些设置以及它们如何影响性能。
我们希望一般环境为每秒 30 个事件 (EPS)。 因此,报告代理每过一秒钟会读取 30 个事件。 要降低对其他正在运行的应用程序(CPU 使用率和上下文开关参数)产生的影响,我们可以将报告代理设置为每 10 秒钟读取 300 个事件,如下所示:
audit_sleep=10 audit_read_chunk=300
CA ControlMinder 在报告代理和分发服务器之间传输消息所使用的消息总线对大数据包(发送时间间隔较长)的处理效果要好于对小数据包(发送时间间隔较短)的处理效果。 以下配置设置指定报告代理在收集的审核记录达到定义的数量时将这些记录发送到分发服务器。 假设每秒 30 个事件,如果希望报告代理大约每隔一分钟(60 秒)发送一次审核记录,我们需要按如下所示设置报告代理:
audit_send_chunk=1800
但是,在夜间或在其他时间,如果每秒的事件数小于 30,则每分钟的事件数将少于 1800。 要验证报告代理是否仍然定期将审核记录发送到分发服务器,我们将发送审核记录的最大时间间隔设置为 5 分钟,如下所示:
audit_timeout=300
|
版权所有 © 2013 CA。
保留所有权利。
|
|