端点分析工具 - 设置
在此部分:
启用端点分析日志记录
有两种启用日志记录的方法:
•在 Environment Manager 控制台中,打开所需的策略配置。在菜单功能区中,选择管理选项卡 > 端点分析按钮:
•可以通过端点上的注册表来启用端点日志记录。
注意:如果使用此方法,需要重新启动端点才能开始日志记录。
要启用日志记录,您需要创建注册表项:
HKLM\Software\AppSense\Environment Manager\Endpoint Analysis\Log Settings
定义 DWORD 值:启用。
如果尚未在配置文件中设置日志记录,请在将启用端点分析日志记录的端点上将此项值设置为 1。
请注意,如果已在配置文件中设置日志记录,那么将此注册表项值设置为 0 不会禁用日志记录。
高级设置也可以创建为项中的值。要阻止将日志记录的要求应用到端点,管理员可以通过远程注册表来设置相关的项。请参阅以下高级设置注册表项值。
请注意,在通过注册表来启用之后,需要完全重新启动计算机,日志记录才会激活。
端点分析设置
启用日志记录后,控制台中会显示“端点分析设置”对话框:
该对话框允许您配置端点上的分析日志记录。根据需要来完成设置。
在某个配置已启用端点分析并被部署到端点之后,只有在首次使用该配置时,.etl 文件才会出现 [已生成?]。如果该配置已将会话期间配置更改选项设置为在登录时(常规设置),.etl 文件夹和文件将不会出现 [看上去不错],直到端点上的下一次登录为止。
在重新启动时,始终会在新文件夹中创建新的 .etl 文件。
|
部分 |
设置 |
说明 |
|---|---|---|
| 常规 | 启用日志记录 | 选择复选框以启用日志记录。清除复选框以禁用日志记录 |
| 存储 | 地址 |
可以指定日志的首选位置。 选择复选框以使用默认位置。 请注意,日志的默认位置与配置的默认位置相同 (C:\Program Data\AppSense\Environment Manager)。 |
| 最大日志文件数量
|
要保存的日志文件的最大数量。 |
|
|
|
最大文件大小 (MB) |
每个 .etl 文件的最大文件大小(以 MB 为单位)。 请注意,在达到最大文件大小之后,将连续循环覆盖文件。 |
| 日志保留时间 |
指定要保留日志文件的时间,在此时间之后将自动删除日志文件。 从下拉列表框中选择时间单位并输入所需的时间单位数量。 |
|
| 高级设置 | 最小缓冲区数量
|
Windows 事件跟踪 (ETW) 使用的内存中缓冲区的最小数量。 |
|
|
最大缓冲区数 |
Windows 事件跟踪 (ETW) 使用的内存中缓冲区的最大数量。 |
| 缓冲区大小 (KB)
|
每个内存中缓冲区的大小。 |
|
|
|
刷新时间 |
将内存中缓冲区刷新到磁盘的间隔。 请注意,在经过此间隔之前,事件都不在 .etl 文件中,也不对端点分析工具可见。 |
高级设置注册表项值
通过“端点分析设置”对话框,管理员能够配置各种设置。作为替代方法,也可以使用注册表来配置这些设置。
在创建并启用 HKLM\Software\AppSense\Environment Manager\Endpoint Analysis\Log Settings 项之后,可以按以下方式创建其他设置和值:
| 值名称 | 类型 |
对话框设置名称 |
|---|---|---|
| LogLocation | REG_SZ | 位置 |
|
MaxLogFiles |
DWORD | 最大日志文件数量 |
|
MaxLogFileSize |
DWORD | 最大文件大小 |
|
RetentionTime |
DWORD | 日志保留时间 |
|
MinBuffers |
DWORD |
最小缓冲区数量 |
|
MaxBuffers |
DWORD | 最大缓冲区数量 |
|
BufferSize |
DWORD |
缓冲区大小 |
|
FlushTime |
DWORD | 刷新时间 |
在每一种情况下,如果注册表值不存在,则应用默认值。
对于端点分析,日志的大小相对较小,在大多数端点上都不太可能造成问题。
相关主题: