Récemment nous recevions des alertes de type “Exception générale de données utiles : Error calling es_alert_add_alert_param for instance…” provenant de notre serveur EdgeSight (5.4 sous Windows 2003 sp 2 + SQL 2005 sp2).
La CTX117433 détaille les tables de la base de données EdgeSight, nous apprenons que le fichier Edgesight_FG5.ndf comprend les tables suivantes :
- FG5 alert : Stability data (errors, faults, hangs, Windows Event Log, hardware errors, and so on).
- FG5 alert_param* : Values and strings specific to the Stability data in the alert table.
- FG5 system_perf : System performance information including user time peak/total, privileged time, total processor time, data bytes per second, disk time, page faults, reset connections, and so on.
- FG5 drive_space : Total and available space on agent device hard drives.
En regardant sur notre serveur EdgeSight (qui héberge sa prope base) nous remarquons que la taille du fichier EdgeSight_FG5.ndf (fichier de données secondaire) est importante (6 Go) pour une ferme xenapp 6 de 8 serveurs.
Nous avons pu constater que ce fichier peut atteindre facilement des dizaines de Go dans certains cas.
En bas de la CTX11433, on comprend mieux pourquoi la base prend autant de place 🙂 .
Effectivement en regardant de plus près côté SQL on s’aperçoit que la table alert se fait plaisir.
Vu que les events de sécurité sont très verbose, l’idéal est de ne pas tous remonter dans EdgeSight.
Depuis la version 5.4, la console EdgeSight (auparavant la version 5.3 ne permettait de le faireque via le registre sur les serveurs directement) permet de limiter le nombre d’events remontés dans EdgeSight.
Dans notre exemple nous sommes radical, reste à affiner cela en fonction de vos besoins
Sinon plus radical (si vous remontez les events par un syslog par exemple) serais de faire un “DELETE FROM alert” sur votre table alert (bon ok la c’est hyper radical 🙂 ).
.
