Wachstum von Sensor-Zeichenketten verwalten

Sie können die Auswirkungen, die Fragenergebnisse auf den Arbeitsspeicher und Festplattenspeicherplatz auf dem Tanium Server haben, reduzieren, indem Sie ein maximales Alter für Antwort-Zeichenketten festlegen, die der Server für einzelne Sensoren speichert.

Der Tanium Server speichert Zeichenketten im Ordner <Tanium_Server>/strings (/Zeichenkette) und lädt die Zeichenketten in den Arbeitsspeicher (der Zeichenketten-Zwischenspeicher), wenn er sie verwendet. Um zu verhindern, dass das Zeichenkettenwachstum zu viel Speicherplatz verbraucht, löscht der Server einen Teil der Zeichenketten für alle Sensoren, wenn die Anzahl der Zeichenketten einen Standard-Schwellenwert überschreitet. Die Standardeinstellungen für die Bereinigung der Zeichenketten unterscheiden jedoch nicht zwischen Sensoren dahingehend, wie wahrscheinlich diese Zeichenketten generieren, die einzigartig sind und nur einmal verwendet werden. Dies ist wichtig, da einzigartige Zeichenketten mehr Platz verbrauchen und die Bereinigung von nur einmal verwendeten Zeichenketten weniger Auswirkungen auf die Last und den Datenverkehr des Servers hat (der Tanium Server muss Fragen nicht neu ausgeben, um die Zeichenketten für eine zukünftige Verwendung neu zu generieren). Zum Beispiel erzeugt der Sensor Detect Primary Alerts (Erkennung von Primärwarnungen) oft viele einzigartige Zeichenketten, die nur einmal verwendet werden. Um diese Faktoren zu berücksichtigen, ermöglicht der Tanium Server 7.3.314.4101 oder neuer es Ihnen, die Tanium Console zu verwenden, um die Bereinigung von Zeichenketten für einzelne Sensoren basierend auf einem Max String Age (Max. Zeichenkettenalter) zu konfigurieren. Der Server berechnet das Zeichenkettenalter basierend darauf, wann er die Zeichenketten zuletzt verwendet oder von Tanium Clients empfangen hat, und verwirft Zeichenketten, die den Höchstwert überschreiten.

Das folgende Verfahren beschreibt, wie man feststellt, welche Sensoren das größte Zeichenkettenwachstum erzeugen, und die Einstellung Maximum String Age (Maximales Zeichenkettenalter) für diese Sensoren festlegt. Für die meisten Sensoren, die einen Grenzwert benötigen, sollten Sie als bewährtes Verfahren die Standardeinstellung von sieben Tagen verwenden. Das Einstellen eines niedrigeren Höchstwertes ist nur in seltenen Fällen erforderlich, z. B. für Sensoren, deren Ergebnisse Datums- oder Zeitstempel enthalten. Das bewährte Verfahren ist, beim Schreiben eines Sensors zu vermeiden, dass Datums- und Zeitstempel in Zeichenketten-Ergebnissen verwendet werden, denn diese führen tendenziell zu einem ungewöhnlich großen Zeichenkettenwachstum. Wenn solche Sensoren jedoch erforderlich sind, können Sie den Höchstwert bis hinunter auf einen Tag einstellen für Sensoren, die Datumsstempel verwenden, und auf sechs Stunden für Sensoren, die Zeitstempel verwenden. Tanium Support, wenn Sie erwägen, die Einstellung Maximum String Age (Maximales Zeichenkettenalter) auf weniger als sechs Stunden festzulegen; nur Ausnahmefälle erfordern solche Grenzwerte.

Bevor Sie beginnen

Installieren Tanium™ Health Check, wenn es nicht bereits installiert ist. Einzelheiten finden Sie unter Benutzerhandbuch für Tanium Health Check: Gesundheitsüberprüfung installieren.

Bereinigung von auf Alter basierenden Zeichenketten konfigurieren

Bestimmen, welche Sensoren das stärkste Wachstum der Zeichenketten produzieren

Verwenden Sie das Modul [Health Check (Gesundheitsüberprüfung)], um zu bestimmen, welche Sensoren das stärkste Wachstum der Zeichenkette erzeugen.

Um die Zeichenkettenanzahlen für jeden Sensor in der Tanium Console anzuzeigen, gehen Sie zum Hauptmenü, wählen Sie Administration > Content (Inhalt) > Sensors (Sensoren) und zeigen die Spalte String Count (Zeichenkettenanzahl) an, die standardmäßig ausgeblendet wird.

1. Wählen Sie im Hauptmenü Shared Services (Geteilte Dienste) > Health Check (Gesundheitsüberprüfung) aus.
2. Klicken Sie unter Manual Report Generation (Manuelle Berichterstellung) auf Run TPAN Report Now (TPAN-Bericht jetzt ausführen).
3. Klicken Sie unter Reports (Berichte) auf den HTML-Link namens Full Report (Vollständiger Bericht) für den Bericht, den Sie gerade ausgeführt haben.
4. Wählen Sie oben im Bericht Environmental Details (Umgebungsdetails) > String Details (Zeichenkettendetails) aus.
5. Überprüfen Sie die Raster, die die häufigsten Sensoren nach Anzahl der Zeichenketten und Speichernutzung auflisten, um zu bestimmen, welche Sensoren das größte Zeichenkettenwachstum erzeugen.

Legen Sie das maximale Zeichenkettenalter fest

1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) >Sensors (Sensoren).

   Führen Sie die verbleibenden Schritte für jeden Sensor aus, für den Sie festlegen, dass ein Grenzwert für das Zeichenkettenalter erforderlich ist.

2. Wählen Sie den Sensor aus, und klicken Sie auf Edit (Bearbeiten).
3. Aktivieren und legen Sie das maximale Zeichenkettenalter fest, und klicken Sie dann auf Save (Speichern).

   Für fast alle Sensoren reduziert die Einstellung Max String Age (Max. Zeichenkettenalter) das Zeichenkettenwachstum auf ein kontrollierbares Niveau, und die Einstellung Max Strings (Max. Zeichenketten) (Grenzwert für die Anzahl der Zeichenketten) ist unnötig. In Extremfällen, die eine Begrenzung der Zeichenketten-Anzahl für einzelne Sensoren erfordern können, wenden Sie sich an den Tanium Support, bevor Sie die Einstellung Max Strings (Max. Zeichenketten) festlegen.

4. Wiederholen Sie in den nächsten zwei Tagen die Schritte, um einen TPAN-Bericht auszuführen, und überprüfen Sie, ob die Anzahl der Zeichenketten und der Betrag der Speichernutzung für die Sensoren, für die Grenzwerte für Zeichenketten festgelegt wurden, wie erwartet reduziert wurden. Falls erforderlich, legen Sie in der Einstellung Max String Age (Max. Zeichenkettenalter) einen niedrigeren Wert für Sensoren fest, die immer noch zu viel Zeichenkettenwachstum erzeugen.