SCOM ACS database full


scom-gsx-solutions

SCOM ACS database full

Acest articol este unul de genul ‘note to self’, bun de stiut pe viitor. M-am trezit ca baza de date pentru Audit Collections Services era full noroc ca am pus o limita odata pee a preventiv sa nu ocupe mai mult decat trebuie.

Pe scurt ACS este folosit sa trimita security events de pe orice host, in general servere, pentru a folosi la auditare. Altfel spus se pot tine centralizat evenimente ce sunt de interes companiei, cine ce a sters, ce a modificat, etc. ACS prezinta cateva avantaje in plus fata de alte ‘event forwarding solutions’ in sensul ca nu pot fi sterse ‘urmele’, se pot rula rapoarte complexe de corelare evenimente prin reporting services, etc.

Mai multe informatii aici: http://technet.microsoft.com/en-us/library/hh212908.aspx

Bun, am zis ca se intampla ca si la baza de date de data warehouse si trebuie sa aiba un ‘grooming period’ care il putem seta.

Si, am rulat pe baza de date OperationsManagerAC urmatorul query:

SELECT * FROM dtConfig

Si rezultatul a fost cel putin interesant pentru mine.

scomacs

In al 6-lea rand ‘number of partitions’ ar trebui sa afiseze numarul de zile de retinere de infromatii. By default sunt 14 zile din ce stiam eu.

Se pare ca era problema asta la 2007, si trebuia sa se fi rezolvat dar se pare ca si la 2012 persista. Exista si un hotfix la un moment dat, care il puteti gasi aici:

http://support.microsoft.com/kb/949969

Desi ma gandesc ca scenariul asta e posibil in cazul in care se face upgrade dela 2007 R3 la 2012.

Oricum, ca sa vedeti ce se afla exact in acele partition tables folositi urmatorul query:

SELECT * FROM dtPartition order by PartitionStartTime

La ‘Status’ valoarea ce trebuie sa o aiba partitia respective este 2, adica ca e gata de ‘grooming’ sau sters.

Daca au o valoare de 1, este mai ‘nasol’, pentru ca acele partitii nu vor fi sterse (groomed) niciodata si vor ajunge sa umple baza de ACS. Statusul de ‘1’ poate aparea de exemplu daca seara, cand se face by default mentenanta bazei de ACS, nu se reuseste indexarea acelor partition tables. Pentru cei mai curiosi exista urmatorul articol care explica cum functioneaza indexare partition tables-urilor:

http://msdn.microsoft.com/en-us/library/ms190787.aspx

Pentru a rezolva automat problema cu ‘status =1’  putem rula urmatorul query:

Use OperationsManagerAC

Update dtPartition

Set Status = 2

Where Status = 1

Dup ace s-a rulat query-ul restartati serviciul de Operations Manager Audit Collection Service (AdtServer).

acsdb

Acum baza de date va fi ‘curatata’ la urmatorul ‘scheduled maintenance’ de obicei pe timpul noptii cand numarul de evenimente generate este mai mic.

THE END…

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s