|
|
|
Die Planung der Protokollerfassung für Ihr Netzwerk basiert auf der Anzahl der Ereignisse pro Sekunde (EpS), die zur Speicherung verarbeitet werden müssen, und auf der erforderlichen Online-Aufbewahrungszeit der Daten. (Online bedeutet in diesem Fall "sofort durchsuchbar".) In der Regel werden die Daten 30 bis 90 Tage lang online aufbewahrt.
Jedes Netzwerk hat sein eigenes Ereignisvolumen, je nachdem, wie viele Geräte und welche Gerätetypen verwendet werden und in welchem Umfang Netzwerkgeräte und -anwendungen wie etwa Firewalls an die Ereignisinformationsanforderungen des Unternehmens angepasst sind. So erzeugen beispielsweise manche Firewalls je nach Konfiguration große Mengen überflüssiger Ereignisse.
Planen Sie Ihre Ereigniserfassung möglichst so, dass das gesamte Ereignisvolumen gleichmäßig auf alle CA Enterprise Log Manager-Server verteilt wird, so dass jeder Server nur eine normale konstante Arbeitslast verarbeiten muss. Damit bei den in Unternehmen üblichen Ereignisvolumen eine optimale Leistung erzielt werden kann, empfiehlt sich die Installation von mindestens zwei föderierten CA Enterprise Log Manager-Servern:
Die folgende Abbildung zeigt ein einfaches Beispiel für ein solches föderiertes CA Enterprise Log Manager-Netzwerk. Zwei CA Enterprise Log Manager-Server (einer für Berichte und einer für die Erfassung) verarbeiten den von verschiedenen Ereignisquellen stammenden Ereignisstrom. Beide Server können Daten für Abfragen, Berichte und Alarme untereinander austauschen.
Der (agentenlose) Quellserver für Protokolldateien ist hauptsächlich zuständig für die eingehenden Ereignisprotokolldaten und die Einfügung in die Datenbank. Bei diesem Server wird eine kurze Datenaufbewahrungszeit von maximal 24 Stunden verwendet. Die gespeicherten Ereignisprotokolle werden über ein automatisiertes Skript täglich oder je nach Ereignisvolumen auch öfter auf den Berichtsserver verschoben. Die Föderation und die Verwendung föderierter Abfragen zwischen den beiden Servern gewährleistet, dass Sie präzise Berichte aus den Ereignisprotokollen auf beiden Servern erhalten.
Der Berichtsserver hat mehrere Funktionen:
Die Daten werden über ein automatisiertes Sicherungsskript vom Berichtsserver auf einen Remote-Server (komprimierte Offline-Speicherung) verschoben. Falls Sie Daten aus dem Offline-Speicher wiederherstellen, geschieht dies in der Regel auf dem Berichtsserver. Falls der Speicherplatz auf dem Berichtsserver begrenzt ist, können die Daten auch auf dem (agentenlosen) Quellserver für Protokolldateien wiederhergestellt werden. Da auf dem Quellserver keine großen Datenmengen gespeichert werden und dieser sich in einem Verbund befindet, erhalten Sie dieselben Berichtsergebnisse.
Ferner kann der Berichtsserver als Failover-Empfänger für Ereignisse fungieren, die von einem Connector auf einem Remote-Agent erfasst wurden, falls der Quellserver aus irgendeinem Grund keine Ereignisse mehr empfängt. Sie können den Failover auf Agentenebene konfigurieren. Bei der Failover-Verarbeitung werden Ereignisse an einen oder mehrere alternative CA Enterprise Log Manager-Server gesendet. Die Failover-Ereigniserfassung ist nicht verfügbar für Ereignisse, die über SAPI- und iTech-Listener aus alten Ereignisquellen erfasst wurden.
| Copyright © 2010 CA. Alle Rechte vorbehalten. | Senden Sie CA Technologies eine E-Mail zu diesem Thema. |