端點分析工具 - 設定
在這個部分中:
啟用端點分析記錄
啟用記錄的方法分為兩種:
•從 Environment Manager 主控台開啟所需的原則組態。從功能表功能區選取管理索引標籤 > 端點分析按鈕:
•端點記錄可透過端點上的登錄啟用。
注意: 使用此方法時,需要重新啟動端點,記錄才會開始。
若要啟用記錄,您將需要建立登錄機碼:
HKLM\Software\AppSense\Environment Manager\Endpoint Analysis\Log Settings
定義 DWORD 值: 啟用。
若尚未在組態檔內設定記錄,則在端點上將此機碼值設定為 1 將會啟用端點分析記錄。
注意: 如果已在組態檔內設定記錄,則將此登錄機碼值變更為 0 不會停用記錄。
另外也可建立進階設定做為機碼中的值。若要在端點上阻止記錄的需求,管理員可以透過遠端登錄設定相關機碼。請參閱下面的進階設定登錄機碼值。
請注意,透過登錄啟用時,需完整重新啟動電腦,記錄才會作用。
端點分析設定
啟用記錄時,主控台中會顯示「端點分析設定」對話方塊:
此對話方塊可讓您設定端點上的分析記錄。視需要完成設定。
若組態的端點分析已啟用,而且已部署至端點,則只有在先使用該組態時,.etl 檔才會出現 [已生成?]。如果組態的工作階段中組態變更選項設定為登入時 (常見設定),則在下一次登入端點前,.etl 資料夾和檔案將不會出現 [看上去不錯!]。
重新啟動時,一律會在新資料夾中建立新的 .etl 檔。
|
部分 |
設定 |
說明 |
|---|---|---|
| 一般 | 啟用記錄 | 選取核取方塊以啟用記錄。清除核取方塊以停用記錄 |
| 儲存區 | 位置 |
可以指定記錄的偏好位置。 選取核取方塊以使用預設位置。 請注意,記錄的預設位置與組態相同 (C:\Program Data\AppSense\Environment Manager)。 |
| 最大記錄檔數目
|
儲存的記錄檔最大數目。 |
|
|
|
最大檔案大小 (MB) |
每個 .etl 檔的最大檔案大小 (指定單位為 MB)。 請注意,達到最大檔案大小後,檔案會以循環方式覆寫。 |
| 記錄保留時間 |
指定自動刪除記錄檔之前的保留時間。 從下拉式清單方塊中選取時間單位,然後輸入所需的時間單位數。 |
|
| 進階設定 | 最小緩衝區數
|
Windows 事件追蹤 (ETW) 使用的記憶體內緩衝區的最小數量。 |
|
|
最大緩衝區 |
Windows 事件追蹤 (ETW) 使用的記憶體內緩衝區的最大數量。 |
| 緩衝區大小 (KB)
|
每一個記憶體內緩衝區的大小。 |
|
|
|
排清時間 (秒) |
記憶體內緩衝區排清至磁碟的時間間隔。 請注意,在此時間間隔經過之前,事件不會在 .etl 檔中,端點分析工具中也看不見事件。 |
進階設定登錄機碼值
「端點分析設定」對話方塊可讓管理員進行各種設定。另外也可以使用登錄來進行設定。
建立並啟用機碼 HKLM\Software\AppSense\Environment Manager\Endpoint Analysis\Log Settings 後,就可建立其他設定和值,如下所示:
| 值名稱 | 類型 |
對話方塊設定名稱 |
|---|---|---|
| LogLocation | REG_SZ | 位置 |
|
MaxLogFiles |
DWORD | 最大記錄檔數目 |
|
MaxLogFileSize |
DWORD | 最大檔案大小 |
|
RetentionTime |
DWORD | 記錄保留時間 |
|
MinBuffers |
DWORD |
最小緩衝區數 |
|
MaxBuffers |
DWORD | 最大緩衝區數 |
|
BufferSize |
DWORD |
緩衝區大小 |
|
FlushTime |
DWORD | 排清時間 (秒) |
在所有情況下,只要登錄值不存在,就會套用預設值。
在端點分析的情況下,記錄大小相對較小,也不太可能對大多數端點造成問題。
相關主題: