|
|
|
Der Ereignisprotokollspeicher verwendet ein föderiertes System, in dem jeder Hostserver einen eigenen lokalen Ereignisprotokollspeicher hat und eine Verbindung zu anderen Ereignisprotokollspeichern der Umgebung herstellen kann. Bei der Abfrage von Ereignisinformationen von einem Server werden sowohl der eigene Ereignisprotokollspeicher als auch die über die Föderation angeschlossenen Ereignisprotokollspeicher durchsucht. Ereignisdaten lassen sich so flexibel und effizient speichern und archivieren.
Mit den Archivierungseinstellungen im Ereignisprotokollspeicher können Sie angeben, wo und wie oft Daten archiviert werden sollen. Es werden sowohl warme (aktive) Ereignisprotokollspeicher als auch kalte (archivierte) Ereignisprotokollinformationen abgefragt. Ereignisinformationen im Offline-Speicher (Remote) werden nicht abgefragt.
Folgende Ereignisprotokoll- und Archivierungseinstellungen sind konfigurierbar:
Legt die maximale Anzahl von Ereignissen fest, die in der Datenbank des Ereignisprotokollspeichers enthalten sein können. Erreicht die Anzahl diesen Wert, werden alle Daten in der Datenbank komprimiert und in die aktive Datenbank verschoben.
Minimum: 50000
Maximum: 100000000
Gibt die Anzahl der Tage an, die archivierte Dateien im Archiv aufbewahrt werden, bevor Sie gelöscht werden.
Minimum: 1
Maximum: 28000
Legt den Prozentsatz des verbleibenden Festplattenspeichers fest, bei dem die ältesten Archivdateien automatisch gelöscht werden. Der Standardwert ist beispielsweise 10. Fällt die Menge des verfügbaren Ereignisprotokollspeicherplatzes unter 5 %, werden die ältesten Dateien aus dem Protokoll gelöscht, um Speicherplatz zu gewinnen.
Minimum: 10
Maximum: 90
Definiert die Anzahl von Stunden, während derer eine im Archiv wiederhergestellte (verfügbar gemachte) Datei im Ereignisprotokollspeicher behalten wird, bevor sie gelöscht wird.
Minimum: 0
Maximum: 168
Bestimmt, welche der verfügbaren Zusammenfassungs- und Unterdrückungsregeln auf die eingegangenen Ereignisse angewendet werden. Ein Administrator muss neue Zusammenfassungs- oder Unterdrückungsregeln anwenden, um Ereignisse verfeinern zu können.
Bestimmt, welche der verfügbaren Ereignis-Weiterleitungsregeln auf die erhaltenen Ereignisse angewendet werden.
Regelt, welche der verfügbaren Ereignisprotokollspeicher dem aktuellen Server untergeordnet sind. Mit dieser Einstellung können Sie Föderationsstrukturen erstellen, um verschiedene Zugriffsebenen für Abfragen zu regulieren. Sie ist nur als lokale Einstellung verfügbar.
Anhand von Protokolleinstellungen wird geregelt, wie einzelne CA User Activity Reporting Module-Module interne Nachrichten erfassen. Diese Einstellungen sind nur als lokale Einstellungen verfügbar. Üblicherweise dienen Protokolleinstellungen zur Fehlerbehebung. Es ist normalerweise nicht notwendig, diese Einstellungen zu ändern. Bevor Sie Änderungen durchführen, sollten Sie unbedingt über umfassende Kenntnisse zu Protokolldateien und Protokollierung verfügen.
Bestimmt Typ und Ebene der Informationen, die in der Protokolldatei aufgezeichnet werden. Die Optionen in der Dropdown-Liste sind nach Detailgenauigkeit angeordnet. Die erste Option bietet den niedrigsten Detailgrad, die letzte den höchsten.
Bestimmt, ob mit der Einstellung "Protokollebene" alle Protokolleinstellungen aus der Eigenschaftsdatei des Protokolls überschrieben werden. Diese Einstellung gilt nur dann, wenn die Einstellung "Protokollebene" niedriger ist (d. h. einen höheren Detailgrad hat) als die Standardeinstellung.
Mit den Einstellungen zur automatischen Archivierung können Sie geplante Jobs zur Datenbankarchivierung aktivieren und steuern. Bei diesen Jobs werden aktive Datenbanken auf einen Remote-Server verschoben.
Hinweis: Bevor Sie geplante Datenbankjobs von einem CA User Activity Reporting Module-Server auf einen anderen CA User Activity Reporting Module-Server oder einen Remote-Server verschieben, müssen Sie zwischen den Servern die nicht interaktive Authentifizierung konfigurieren. Weitere Informationen finden Sie im Abschnitt "Konfigurieren von nicht interaktiver Authentifizierung" des CA User Activity Reporting Module-Implementierungshandbuchs.
Für die automatische Archivierung können folgende Werte festgelegt werden:
Mit der Ausführung eines automatischen Archivierungsjobs wird begonnen. Bei der automatischen Archivierung wird das SCP-Hilfsprogramm entsprechend den anderen Einstellungen verwendet.
Gibt den Typ der Sicherung an: Bei einer vollständigen Archivierung werden alle Datenbanken kopiert, bei einer Zuwachssicherung nur die noch nicht gesicherten Datenbanken.
Standard: Zuwachs
Bestimmt, ob die Archivierung täglich oder stündlich erfolgt. Geben Sie die Uhrzeit für die tägliche Archivierung mithilfe der Startzeit an. Stündliche Archivierungsjobs werden zu jeder vollen Stunde durchgeführt.
Gibt an, wann eine tägliche Archivierung erfolgt. Die Zeitangabe erfolgt in ganzen Stunden. Es gilt die Ortszeit des Servers. Die Uhrzeit wird im 24-Stunden-Format angegeben.
Obergrenzen: 0-23, wobei 0 für Mitternacht und 23 für 23 Uhr steht.
Bestimmt den Benutzer, der dazu berechtigt ist, Abfragen im Archiv durchzuführen, die Archivdatenbank neu zu katalogisieren sowie das LMArchive-Hilfsprogramm und das Shell-Skript "restore-ca-elm" auszuführen. Dieser Benutzer muss ein Administrator sein.
Standard: Log Manager-Administratorbenutzer
Gibt das Kennwort des Benutzers an, der über die im Feld "EEM-Benutzer" angegebenen Rechte verfügt.
Gibt den Hostnamen oder die IP-Adresse des Remote-Servers an, auf dem die Datenbankinformationen bei der automatischen Archivierung kopiert werden.
Gibt den Benutzernamen an, mit dem sich SCP am Remote-Server anmeldet.
Standard: caelmservice
Gibt den Zielspeicherort der Archivdatei auf dem Remote-Server an.
Standard: /opt/CA/LogManager
Gibt an, ob der Remote-Server ein Verwaltungsserver ist oder nicht. Wenn er einer ist, löscht der automatische Archivierungsjob die Datenbanken nach Abschluss der Übertragung aus dem lokalen Rechner. Danach wird der Remote-Rechner benachrichtigt, um eine Neukatalogisierung durchzuführen.
Steuert, wie groß die zeitliche Abweichung bei der Erstellung von Incidents sein darf. Die Werte "Endzeit der Abweichung" und "Startzeit der Abweichung" ermöglichen es Ihnen, einen späteren Wert (Zukunft) oder früheren Wert (Vergangenheit) als die aktuelle CA User Activity Reporting Module-Server-Zeit festzulegen. Wenn ein Ereignis nicht in dieses Fenster fällt, wird es nicht zur Korrelation weitergeleitet.
Hinweis: Die Werte für den Zeitraum zum Empfang des Ereignisses werden in Zählregeln nicht berücksichtigt. Zählregeln berücksichtigen nur Ereignisse, die maximal 5 Minuten in der Zukunft liegen. Ereignisse mit Zeitstempeln, die mehr als 5 Minuten in der Zukunft liegen, werden unabhängig vom Wert für "Endzeit der Abweichung" ignoriert.
| Copyright © 2011 CA. Alle Rechte vorbehalten. | Senden Sie CA Technologies eine E-Mail zu diesem Thema. |