审核收集服务容量规划

从 ACS 转发器接收事件后，在将其发送到 ACS 数据库之前，使用 ACS 收集器队列存储这些事件。 在高审核流量期间或者在 ACS 数据库不能接受新事件时（如数据库清除期间），队列中的事件数量会增加。 有三个注册表值用来控制 ACS 收集器在队列达到最大容量时如何反应。

下表列出每个注册表项及其默认值。 表中所有注册表项都位于注册表的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdtServer\Parameters 注册表项中。

根据你的环境，你可能需要调整一个或多个上述注册表项的值。 为了获得最佳结果，你应该考虑更改注册表项的值会对其他注册表项产生的影响。 例如，BackOffThreshold 值应该始终小于 DisconnectThreshold，允许 ACS 收集器在 ACS 数据库跟不上需求时顺利降低性能。

ACS 收集器上的内存用于缓存需要写入 ACS 数据库的 ACS 事件。 ACS 收集器需要的内存量根据连接的 ACS 转发器数量以及你的审核策略生成的事件数而有所不同。 你可以使用以下公式，根据预期流量计算是否需要更多内存以获得更好的 ACS 性能：

建议内存 = (M x .5)+(50 x N)+(S x .5)+(P x .1)

公式变量在下表中定义。

在 ACS 正常运行时，队列长度应该很少达到 BackOffThreshold 值。 如果队列长度经常达到此阈值，表示事件数量超出了数据库的处理能力，或者应该升级你的数据库硬件。

要减少写入到 ACS 数据库的事件数，你可以更改审核策略来减少生成的事件数，或者在 ACS 收集器上应用筛选器来丢弃不必要的事件并且将其清理出 ACS 数据库。 你还可以部署附加的 ACS 收集器和数据库，减少每个 ACS 收集器服务的 ACS 转发器数量，从而减少将事件发送到 ACS 数据库的 ACS 转发器数量。

有关筛选器的详细信息，请参阅 AdtAdmin.exe /SetQuery。 有关一个 ACS 收集器可支持的 ACS 转发器数量的详细信息，请参阅使用 Operations Manager 中的审核收集服务收集安全事件。

由于数据集超过 10,000 条记录，因此在 UNIX 和 Linux 计算机上部署 ACS 的性能将会降低。