EventLog Analyzer性能优化指南

• 系统资源计算
• 系统资源优化
• 磁盘空间
• CPU和RAM

系统资源计算

在没有足够的系统资源的情况下托管EventLog Analyzer可能会影响其执行必要任务的能力。使用下面的计算器大致确定EventLog Analyzer平稳运行所需的硬件。

系统资源计算器

系统资源优化

磁盘空间

（a）基于日志体积的优化

所需的硬盘空间取决于您环境中生成的日志，对于高日志流速，您需要更大的磁盘空间来存储和处理日志。然而，如果对磁盘空间的需求正在以惊人的速度增长，您应该检查是否只收集了所需的日志。进行以下更改可以在不影响安全性的情况下减少对磁盘空间的需求。

• 禁用对无关的Windows事件的审计。
• 确保只将必要的系统日志转发到服务器。
• 使用日志收集过滤器来消除噪音。

（b）基于保留的优化

日志存档和索引文件夹是存储日志不断增长的主要贡献者，随时存储网络生成的日志所需的总磁盘空间是存档和索引文件夹的组合大小。

• 存档数据：存档索引减慢了搜索功能，但占用的磁盘空间更少。
    
• 索引数据：原始索引加快了搜索功能的速度，但占用了更多的磁盘空间。

特定时间段的存档和索引大小取决于该时间段期间生成的原始日志总量。

CPU和RAM

CPU：对CPU功率的需求取决于日志量、现有的告警配置文件和相关的规则。如果CPU使用率异常，请执行以下操作：

• 设置策略，仅转发所需的日志。
• 审查并确保只有所需的告警配置文件和相关规则到位。

RAM：相关性是一个RAM密集型过程，因此请确保只使用必要的相关性规则。