Die Konsolidierung von Ereignisprotokolleinträgen in einer zentralen Datenbank kann eine Herausforderung für Datenbankserver sein, die nicht ausreichend dimensioniert sind, insbesondere in mittleren und größeren Netzwerken, in denen die EventSentry-Datenbank leicht auf Hunderte von Gigabyte oder sogar Terabyte anwachsen kann. Wenn der Datenbankserver unter zu hohem Druck steht, können bestimmte EventSentry-Komponenten anfangen, Daten in eine Warteschlange zu stellen, und Suchanfragen in den Web Reports können länger dauern.
Obwohl EventSentry keine Funktion zur automatischen Archivierung von Ereignissen in einer separaten Archivierungsdatenbank bietet, kann EventSentry so konfiguriert werden, dass Protokolldaten in zwei Datenbanken geschrieben werden: Eine Datenbank für den schnellen Zugriff (diese Datenbank löscht regelmäßig ältere Daten) und eine weitere Datenbank für die Langzeitarchivierung. Aufgrund der Flexibilität von EventSentry können Sie für diese Aufgabe sogar zwei verschiedene Datenbanktypen verwenden. Zum Beispiel kann eine Microsoft SQL Server®-Datenbank zur Speicherung von Sofortdaten (z.B. der letzten 60 Tage) und eine PostgreSQL-Datenbank zur Speicherung von Daten für die Langzeitspeicherung (z.B. 2 Jahre) verwendet werden.
Die folgenden drei EventSentry-Funktionen unterstützen dies:
1.Filter: Die Filterregeln von EventSentry können dasselbe Ereignis an mehrere Benachrichtigungen weiterleiten, zum Beispiel an zwei verschiedene Datenbanken.
2.Benachrichtigungen: EventSentry ermöglicht die Einrichtung mehrerer Benachrichtigungen desselben Typs, z.B. an mehrere Datenbanken.
3.Profile: Die Web-Reports unterstützen mehrere Profile, so dass von derselben URL aus auf mehrere Datenbanken zugegriffen werden kann.
Die nachstehenden Anweisungen gehen davon aus, dass eine Datenbankkonsolidierung bereits eingerichtet ist.
1. Eine Aktion erstellen
EventSentry benötigt eine Aktion, um Ereignisse an eine Datenbank weiterzuleiten. Klicken Sie in der EventSentrz Konsole auf den Container "Actions" in der linken Baumansicht. Verwenden Sie dann entweder den Ribbon um eine Aktion hinzuzufügen, oder klicken Sie mit der rechten Maustaste auf den Aktionscontainer und wählen Sie Hinzufügen. Geben Sie einen beschreibenden Namen für die Aktion ein, z.B. "Sekundärdatenbank" oder "Langzeitdatenbank".
Klicken Sie im daraufhin erscheinenden Dialog auf die Schaltfläche Datenbank initialisieren oder aktualisieren, um den Konfigurationsassistenten im Datenbankinitialisierungsmodus zu starten. Folgen Sie einfach dem Assistenten, der eine Initialisierung des Schemas auf einer neuen Datenbank erstellen wird.
Wenn Sie die erste EventSentry-Datenbank auf einem DB-Server erstellen, stellen Sie sicher, dass Sie die Kennwörter sowohl für die Benutzer eventsentry_svc als auch eventsentry_web dokumentieren. |
Wenn der Konfigurationsassistent abgeschlossen ist, konfiguriert er automatisch die Datenbankeigenschaften für die Aktion. Klicken Sie auf die Schaltfläche "Test", um sicherzustellen, dass die Konfiguration der Aktion gültig ist.
2. Ändern oder Erstellen einer zusätzlichen Filterregel
Sobald die neue Datenbank initialisiert ist, können Ereignisse an sie weitergeleitet werden. Der einfachste Weg, Ereignisse an eine 2. Datenbank weiterzuleiten, besteht darin, die bereits vorhandene Filterregel zu modifizieren, die Ihre Ereignisse an Ihre primäre Datenbank weiterleitet.
Bearbeiten Sie jede Filterregel im Paket "Database Consolidation" und fügen Sie die neue Meldung zur Liste Aktionen hinzu. Wenn Sie die Liste der Aktionen nicht sehen können, werden Ihre Aktionen von der Paketebene geerbt, und Sie müssen die Paketdetails ändern. Klicken Sie mit der rechten Maustaste auf das übergeordnete Paket und wählen Sie Edit. Fügen Sie dort die neue Aktion zur Aktionsliste des Abschnitts "Overrides" hinzu.
Sie können auch eine zusätzliche Filterregel erstellen, anstatt die bestehende zu modifizieren, um die Struktur zu verbessern. Nach dem Speichern und Verschieben der Konfiguration werden die ausgewählten Ereignisse in beide Datenbanken geschrieben.
Sie können auch andere Funktionen anpassen, die mehrere Datenbanken unterstützen, einschließlich
• Log-Datei-Überwachung
• Leistungsüberwachung
• Validierungs-Skripte
3. Periodisches Löschen von Daten
Sobald die Daten in beide Datenbanken geschrieben sind, muss ein Purge Plan erstellt werden, der auf den folgenden Faktoren basiert:
•Wie lange die Daten in der Schnellzugriffsdatenbank aufbewahrt werden sollen, zum Beispiel 60 Tage.
•Wie lange die Daten in der Archivierungsdatenbank aufbewahrt werden sollen, z.B. 60 Tage. Dies hängt von den Compliance- oder Verwaltungsanforderungen ab.
•Welcher Datenbankserver für den Schnellzugriff und welcher für die Archivdatenbank ausgewählt werden soll. Dies ist normalerweise eine offensichtliche Wahl.
Sobald Sie diese Faktoren bestimmt haben, können Sie beide Datenbanken so einrichten, dass die Datensätze periodisch gelöscht werden. Weitere Informationen finden Sie unter Daten löschen und Daten automatisch löschen.
4. Erstellen eines neuen Profils in den Web Reports
Mit Profilen können Sie zusätzliche Datenbankverbindungen und/oder Schnittstelleneinstellungen einrichten. Nachdem ein zusätzliches Profil erstellt wurde, können Sie einfach auf dieses zugreifen, indem Sie es in der Dropdown-Liste oben links auswählen. Profile werden über den Profileditor oder durch direktes Bearbeiten der Datei configuration.xml erstellt.
Klicken Sie im Menü der Web Reports auf das Zahnradsymbol, wählen Sie Profile und klicken Sie links auf Neues Profil erstellen. Weisen Sie dem Profil im Abschnitt Profilname einen aussagekräftigen Namen zu und konfigurieren Sie die Datenbankverbindung entsprechend. Bitte stellen Sie auch sicher, dass andere Einstellungen (z.B. die UTC-Einstellungen und E-Mail-Einstellungen) korrekt konfiguriert sind.
Sobald Sie unten auf der Seite auf Submit klicken, können Sie einfach zwischen Ihrer primären und sekundären Datenbank wechseln, indem Sie das Pulldown-Menü oben links wählen.