Najlepsza praktyka konfigurowania przesyłania dalej EventLog w systemie Windows Server 2012 R2

Podsumowanie

W tym artykule przedstawiono najlepsze rozwiązanie dotyczące konfigurowania przesyłania dalej zdarzeń w dużym środowisku w systemie Windows Server 2012 R2.

Istnieją ważne poprawki skalowalności, które zostały przełożone na systemy Windows Server 2016, Windows Server 2019 w 25 lutego, 2020 zbiorcze aktualizacje.

Zobacz "usprawnianie skalowalności zdarzeń, aby zapewnić bezpieczeństwo wątków i zwiększyć ilość zasobów". punktory w następujących dwóch artykułach:25 lutego 2020 r. — KB4537806 (kompilacja OS 14393,3542)25 lutego 2020 r. — KB4537818 (kompilacja systemu operacyjnego 17763,1075)

Opóźnienie zdarzeń

Zaraz po wygenerowaniu zdarzeń na kliencie mechanizm przesyłania zdarzeń zajmuje trochę czasu, aby przesłać go do kolektora.

To opóźnienie może wynikać z konfiguracji subskrypcji, takiej jak parametr DeliveryMaxLatency , wydajności kolektora, usługi przesyłania dalej lub sieci.

Uwaga Upewnij się, że zdarzenia nie są zastępowane na kliencie, zanim zostaną przesłane dalej.Zazwyczaj należy zarządzać tym problemem tylko wtedy, gdy klienci generują dużą ilość zdarzeń, takich jak zajęty serwer lub kontroler domeny przesyłający dalej dziennik zabezpieczeń.

Ograniczenie i wymagania systemowe

Przekierowywanie dziennika zdarzeń w dużym środowisku, na przykład wdrożenie 40 000 do 100 000 komputerów źródłowych. W tej sytuacji zalecamy wdrożenie więcej niż jednego kolektora, który ma 2 000 na nie więcej niż 4 000 klientów na kolektor.

Ponadto zalecamy zainstalowanie co najmniej 16 GB pamięci RAM i czterech (4) procesorów w module zbierającym w celu obsługi średniego obciążenia klientów 2 000 do 4 000, dla których skonfigurowano co najmniej jeden abonament.

Szybkie dyski są zalecane, a dziennik ForwardedEvents można umieścić na innym dysku w celu uzyskania lepszej wydajności.

Użycie pamięci przez usługę kolektora zdarzeń systemu Windows zależy od liczby połączeń odebranych przez klienta. Liczba połączeń zależy od następujących czynników:

  • Częstotliwość połączeń

  • Liczba subskrypcji

  • Liczba klientów

  • System operacyjny klientów

Na przykład w przypadku wartości domyślnych dla klientów 4 000 i pięciu do siedmiu abonamentów pamięć używana przez usługę kolektora zdarzeń systemu Windows może szybko przekroczyć 4 GB i nadal wzrastać. Może to sprawić, że komputer nie reaguje.

Częstotliwość połączeń z klientami

Trzy parametry sterują częstotliwością połączeń klienta:

  • Refresh = (określony w adresie URL konfiguracji obiektu zasad grupy)

  • DeliveryMaxLatency (określony w subskrypcji)

  • HeartbeatInterval (określony w subskrypcji)

Parametr Refresh = w obiekcie GPO

Ten parametr jest mierzony w sekundach. Określa, jak często klient nawiązuje połączenie z adresem URL /WEC , aby wyliczyć dostępne subskrypcje.

Kolektor odpowiada za udostępnienie listy abonamentów włączonych dla klienta. Odpowiedź zawiera zakładki dla każdego kanału i zapytania XPath.

Gdy klient otrzyma informacje, rozpocznie wysyłanie zdarzeń lub pakietów pulsu do adresu URL/Subscriptions. Jeśli subskrypcje nie ulegają częstym zmianom, ten parametr można skonfigurować tak, aby sprawdzać co kilka godzin lub nawet rzadziej.  

DeliveryMaxLatency

Steruje częstotliwością połączeń klienta. W przypadku dużego wdrożenia można utworzyć abonament dla pilnych zdarzeń z częstotliwością określoną na 5 minut, a druga dla mniej pilnych zdarzeń jest ustawiona na dwie godziny.  

HeartbeatInterval

Umożliwia sterowanie stanem nieaktywny w oknie stanu czasu wykonywania konsoli. Można ustawić tę samą wartość co DeliveryMaxLatency lub większą wartość, aby umożliwić klientom dodatkowy czas, zanim zostaną one oznaczone jako nieaktywne.  

Parametry niestandardowe

Aby skonfigurować parametry niestandardowe, należy uruchomić polecenie wecutil, używając wiersza polecenia. Aby uzyskać więcej informacji, zobacz polecenie wecutil. exe.

  • Możesz wyświetlić skonfigurowaną subskrypcję jako wecutil es.

  • Najpierw musisz przełączyć abonament na "niestandardowy":

wecutil ss <abonamentname> /cm: "niestandardowy"

  • Następnie ustaw parametr DeliveryMaxLatency:

wecutil ss <abonamentname> /dmlt: 7200000 (Wartość jest wyrażona w milisekundach: 7200000 = 2 godziny)

  • Dopasowywanie HeartbeatInterval do tej samej wartości. To ustawienie ma wpływ na stan "nieaktywny" dla każdego klienta w konsoli:

wecutil ss <abonamentname> /Hi: 7200000

Optymalizacja dostarczania abonamentu

Klienci wysyłają zdarzenia do adresu URL usługi/Subscriptions. Te połączenia są bardzo ważne w przypadku korzystania z pamięci przez moduły zbierania danych.

Dostępne są następujące tryby obecnie skonfigurowane.

  • Standardowe

    • Zapewnia niezawodne dostarczanie zdarzeń i nie próbuje oszczędzać przepustowości.

    • Wybierz odpowiednią opcję, chyba że potrzebujesz ściślejszej kontroli nad użyciem przepustowości lub wymagasz, aby przekierowane zdarzenia były dostarczane możliwie jak najszybciej.

    • Używa trybu dostarczania ściągania, partii pięciu elementów jednocześnie i ustawia limit czasu partii na 15 minut.

  • Minimalizuj przepustowość

    • Zapewnia ścisłą kontrolę nad korzystaniem z przepustowości sieci na potrzeby dostarczania zdarzeń.

    • Jeśli chcesz ograniczyć częstotliwość połączeń sieciowych w celu dostarczania zdarzeń, wybierz odpowiednią opcję.

    • Używa trybu dostarczania push i ustawia limit czasu partii o 6 godzin i interwał pulsu o 6 godzin.

  • Minimalizuj czas oczekiwania

    • Zapewnia, że zdarzenia są dostarczane o minimalnej opóźnieniu.

    • Odpowiedni wybór w przypadku zbierania alertów lub zdarzeń krytycznych.

    • Używa trybu dostarczania push i ustawia limit czasu partii na 30 sekund.

Klient łączy się z kolektorem po określonej częstotliwości, aby wysłać zdarzenia lub wysłać puls.

Domyślne ustawienia "normalny" mogą powodować duże użycie pamięci przez 2 000 do 4 000 klientów na kolektor.

Konfigurowanie nazwy kolektora

Nazwę modułu zbierającego można skonfigurować na kliencie, konfigurując następujący obiekt zasad grupy (GPO): Computer Configuration/Administative Templates/Windows Components/ Event Forwarding/ Configure Target Subscription Manager

Możesz też zmienić ustawienia rejestru w następującym podkluczu: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager

Obiekty zasad grupy, które przypisują kolektor każdemu klientowi, można filtrować przy użyciu ustawienia zabezpieczeń samego obiektu zasad grupy lub filtru WMI.

Jeśli na przykład nazwa komputera zawsze kończy się cyframi (na przykład Komputer1, computer2itd.), możemy utworzyć obiekty zasad grupy, aby wskazać klientów na 10 różnych kolektorów.

Konsolidacja abonamentów

Skonfigurowanie wielu subskrypcji zwiększa liczbę połączeń. Kwestie omówione we wcześniejszej sekcji niniejszego artykułu dotyczą poszczególnych abonamentów.

Zalecamy skonfigurowanie subskrypcji przez edycję zapytania XPath i umieszczenie wielu zapytań w tej samej subskrypcji.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×