Hallo,
wir haben seit einiger Zeit Probleme mit der Verwaltung der Audit-Log-Speicherung auf dem Server in der Datenbank. Dadurch wächst die Datenbank unnötig an.
Es besteht eine Diskrepanz zwischen den Aufbewahrungsparametern, die wir in unserem Audit-Paket festlegen, und den vom Server verwendeten Parametern.
Beispielsweise ist `max_count=10` und `keep_days=30` gesetzt.
Der WAPT-Agent verwendet beide Parameter korrekt mit ihren Werten, der WAPT-Server hingegen nur `keep_days` und nicht `max_count`. Das bedeutet beispielsweise, dass wir für ein Audit mit dem von uns implementierten LLDP-Protokoll, das den Switch und den Verbindungsport der Workstation abruft, `max_count` auf 10 und `keep_days` auf 365 gesetzt haben, um nur die letzten 10 Audit-Logs über 365 Tage zu speichern. Der Server berücksichtigt jedoch nur `keep_days` und nicht `max_count`. Dies führt dazu, dass alle zwei Stunden ein Audit des Pakets über 365 Tage auf fast 9.000 Rechnern durchgeführt wird – Sie können sich das Datenvolumen vorstellen. Es belegte 8 GB in der Datenbank-Audittabelle.
Ein weiteres problematisches Audit betrifft BitLocker. Es gibt 1.117.000 BitLocker-Schlüssel-Audits für fast 9.000 Rechner. Tatsächlich ist der Verschlüsselungswert bei jedem Audit unterschiedlich, wodurch ein neuer Eintrag generiert wird. Wir haben etwa 600 BitLocker-Audit-Einträge pro Rechner in der Datenbank.
Aktuell belegt die WAPT-Audittabelle 40 GB der insgesamt 49 GB großen Datenbank.
Ich denke, es gibt einige Punkte, die verbessert werden müssen, um zu verhindern, dass diese Datenbank durch die Auditverwaltung explodiert.
Vielen Dank für Ihr Feedback,
Rémy Esberard
Problem der Datenbanküberlastung durch Audits
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Hallo Rémy,
die Variable `max_count` betrifft tatsächlich nur die Datenbank des lokalen WAPT-Agenten. Der Server verwendet ausschließlich `keep_days`, um die Bereinigung durchzuführen.
Würde der Server die `max_count`-Variable des Agenten überwachen, könnte der WAPT-Agent seine Historie mithilfe dieser Variable verändern, was nicht dem beabsichtigten Verhalten entspricht.
Im Fall von BitLocker handelt es sich tatsächlich um einen Fehler, da das Paket zwar `if_changed` , aber... da es auch `rsa_encrypted_data_str` nutzt, wird es jedes Mal aktualisiert, weil `rsa_encrypted_data_str` jedes Mal anders verschlüsselt wird. Es ist definitiv ein Fehler im Paket; wir müssen an einer Verbesserung arbeiten.
Beispielsweise könnten wir eine serverseitige `max_count`-Variable implementieren, anstatt eine vom Client festlegen zu lassen.
die Variable `max_count` betrifft tatsächlich nur die Datenbank des lokalen WAPT-Agenten. Der Server verwendet ausschließlich `keep_days`, um die Bereinigung durchzuführen.
Würde der Server die `max_count`-Variable des Agenten überwachen, könnte der WAPT-Agent seine Historie mithilfe dieser Variable verändern, was nicht dem beabsichtigten Verhalten entspricht.
Im Fall von BitLocker handelt es sich tatsächlich um einen Fehler, da das Paket zwar `if_changed` , aber... da es auch `rsa_encrypted_data_str` nutzt, wird es jedes Mal aktualisiert, weil `rsa_encrypted_data_str` jedes Mal anders verschlüsselt wird. Es ist definitiv ein Fehler im Paket; wir müssen an einer Verbesserung arbeiten.
Beispielsweise könnten wir eine serverseitige `max_count`-Variable implementieren, anstatt eine vom Client festlegen zu lassen.
