|
|
|
La pianificazione della raccolta dei registri per la rete si basa sul numero di eventi al secondo (eps) da elaborare per l'archiviazione e sulla durata del tempo di memorizzazione dei dati online (in questo senso, online significa in uno stato che è possibile trovare immediatamente). Di solito, è possibile memorizzare i dati online per 30-90 giorni.
Ogni rete dispone del proprio volume di eventi come funzione del numero di periferiche, tipi di periferiche e livello di adattamento delle periferiche e delle applicazioni di rete, come i firewall, alle richieste di informazioni sugli eventi aziendali. Ad esempio, alcuni firewall possono generare enormi volumi di eventi non necessari in base a come vengono configurati.
Si consiglia di pianificare la raccolta degli eventi in modo che il volume totale di eventi sia distribuito sui server CA User Activity Reporting Module senza forzare nessuno di essi a superare il carico di lavoro costante normale. Per mantenere prestazioni di picco con volumi di eventi a livello aziendale, si consiglia di installare almeno due server CA User Activity Reporting Module federati:
La seguente illustrazione rappresenta un semplice esempio di questo tipo di rete CA User Activity Reporting Module federata. Due server CA User Activity Reporting Module, uno dedicato ai rapporti e l'altro alla raccolta, gestiscono il traffico degli eventi da una serie di origini. Entrambi i server possono condividere dati tra di loro per le query, i rapporti e gli avvisi.
Il server di raccolta gestisce innanzitutto il traffico dei registri eventi in ingresso e si focalizza sugli inserimenti nei database. Utilizza criteri di memorizzazione a breve termine dei dati, per 24 ore o meno. Uno script automatizzato sposta i registri eventi archiviati in un server di rapporti quotidianamente o più spesso a seconda del volume di eventi. La federazione e l'utilizzo di query federate tra i due server garantisce la ricezione di rapporti precisi dai registri eventi su entrambi i server.
Il server di rapporto svolge diverse funzioni:
Uno script di backup automatizzato sposta i dati dal server di rapporto a un server remoto (archivio cold). Se si decide di ripristinare i dati dall'archivio cold, generalmente si esegue questa operazione sul server di rapporto. Se lo spazio sul server di rapporto è limitato, è possibile anche ripristinare il server di raccolta. Poiché il server di raccolta non archivia grandi quantità di dati ed è federato, i risultati del rapporto sono gli stessi.
Inoltre, il server di rapporto può funzionare come ricevitore di failover per gli eventi raccolti da un connettore su un agente remoto, se il server di raccolta smette di ricevere eventi per qualche motivo. È possibile configurare failover a livello di agente. L'elaborazione dei failover invia eventi a uno o più server CA User Activity Reporting Module alternati. La raccolta di eventi di failover non è disponibile per fonti di eventi preesistenti come raccolte dai listener SAPI e iTech.
| Copyright © 2011 CA. Tutti i diritti riservati. | Contatta CA Technologies |