Аудит (Nsure Audit) на 6.5 замедляет доступ к файлам!

[RuStn]

Алексей, все работает и таких ошибок нет...
Попробуй все таки снова снести расширения схемы, auditext поможет, после удали все файлы от NAudit'а. Затем снова ставь и расширяй схему. Я для пущей уверенности (зря делал, потому что дерево одно и свойства значит одни) на каждом сервере запускал auditext. После в свойствах серверов полазив указал глобальные фильтры на них. Проверил с помощью C1 во вкладке Другие, там есть атрибут в котором перечисляется весь фильтр, в нем кстати проверь, есть ли в перечне фильтров этот атрибут...
После насоздавал евенты с событиями которые мне нужны, По совету festona на каждый евент (а они все разделены на директории, файлы, логин и логаут (один евент), события выгрузки и загрузки nlm и т.д.) и эти евенты раскидываюь каждый в свой канал (и каждый канал в свои таблицы). Не факт что это оптимально. Просто я создал еще один евент для ловли 3х файлов (нужно отследить кто и во сколько что с ними делает), и так же скидываю на свой канал-таблицу.
Как я ранее писал, при старых версиях аудита ни при каких оптимизациях не позволял работать более суток, сервер 2xPIII-600 2Гб падал в абенты. Хотя в документах писали что оптимально уже Xenon'ы 2х и более процные. Теперь же, радует своей работой.
Конечно не совсем еще доделан продук, но всеж, приятно им ловить нехорошие события юзверей.
Совсем например не обдуман у них вопрос о том, что же делать с таблицей или таблицами которые выросли, как их сбэкапить или еще что сделать. Есть конечно решение, но оно кривое, действует, но опять же при работе ручками (почти все действия). Да и в сервера что с агентами нелогично добавляются свойства аудита, и т.д. и т.п.

[RuStn]

А еше хотел бы узнать, как составить правило, точнее длинее выражение, а то тех строк 5,6 что есть мне не хватает...

[Орлов Алексей]

Спасибо за помощь RuStn. Да действительно при администрировании аудита через мобильный imanager 2.6 эта ошибка не появляется

(RightsCache.........105 (Error -618) The server has detected an inconsistent dat
abase. Usually this means that the number of entries in a container does not mat
ch the number stored in the container's entry.)

а при работе через штатный 2.5 эта ошибка есть. Видимо некорректная работа 2.5 с naudit.
И еще была проблема:
после установки naudit был заменен libmysql на более новый который не может работь с mysql версии 3 (который у меня используется на стороннем сервер unix. А именно на сервер nw есть интерфейс, который при входе на который происходит обращение к базе данных mysql и вот в этот самый момент вываливался libmysql и соответсвенно сервак в abend, но не в критичный -до вечера дожить можно было, но без apache2 он умирал наглухо с повышением загрузки cpu до 100%. После замены этого модуля на тот, что шел в поставке nw65sp3 ситуация нормализовалась.

[RuStn]

Алексей, рад был помочь!
Судя по документу по аудиту, его можно использовать в различных вариациях. как на MySQL так и на ORACLE, но тут есть но, за это надо будет заплатить
В том варианте что он есть, MySQL это для всех
Но у меня многих проблем небыло как у Алексея. Все началось с того что feston'у была поставлена задача поднять NSure Audit, чем он и стал заниматься. Да были подводные камни, но он их ловко обходил, и на первых же этапах мы пришли к выводу (наверное все же он в большей части) что надо использовать MySQL более свежее версии. И соответственно после абентов и нехорошей работе аудита стали искать его более свежие версии. И как только он появился, 2.0.2 многие проблемы пропали
Но есть и тут но. Все же не совсем ясно почему: на сервере SLS с агентом auditnw lcache и сопутствующие ему модули, сервер почти не грузят, хотя собирают евенты не в больших количествах. На сервере агенте (где событий очень много) выше перечисленные модули и сопутствующие им, грузят двух проц сервер P III 600, и достаточно сильно (один из процессоров переодически скачет загрузкой на 100% от модуля auditnw). А так же отъедают память (точнее схватят определенный объем и держут его на всем протяжении работы) по сравнению с SLS.
Есть конечно вопросы, но и такое ведение логов радует, чем совсем ничего )

[Владимир Горяев]

И еще была проблема:
после установки naudit был заменен libmysql на более новый который не может работь с mysql версии 3 (который у меня используется на стороннем сервер unix. А именно на сервер nw есть интерфейс, который при входе на который происходит обращение к базе данных mysql и вот в этот самый момент вываливался libmysql и соответсвенно сервак в abend, но не в критичный -до вечера дожить можно было, но без apache2 он умирал наглухо с повышением загрузки cpu до 100%. После замены этого модуля на тот, что шел в поставке nw65sp3 ситуация нормализовалась.

Алексей, я вроде тебе говорил причину и многим еще. Вот документ, цитирую тут т.к. сайт N периодически колбасит и найти именно етот почти невозможно

ABEND in PHP MyAdmin when Novell Nsure Audit 1.0.3P3 or Novell Audit 2.0 is installed on the server.
(Last modified: 02May2006)

This document (10101034) is provided subject to the disclaimer at the end of this document.
fact

Novell Audit 2.0

Novell Nsure Audit 1.0.3

Novell Open Enterprise Server (OES)

MySQL 4.0

MySQL 4.1

MySQL 5.0
symptom

ABEND in PHP MyAdmin when Novell Nsure Audit 1.0.3P3 or Novell Audit 2.0 is installed on the server.

ABEND does not occur when Novell Audit is not installed on the server.

ABEND does not occur when PHP is not used on the OES server.
cause

OES NetWare shipped with MySQL v4.0. In order for Novell Nsure Audit 1.0.3 and Novell Audit 2.0 to be compatible with IDM 3, the Novell Audit development team included LIBMYSQL.NLM version 4.1 with the 1.0.3 "P3" product and the shipping 2.0 product.
fix

There are a number of things that you can do to fix the ABEND issues. They are as follows:

1.) If you are not using IDM3 and you are using PHP, then simply replace the LIBMYSQL.NLM that gets put down by the Novell Audit products with the version that was running previously. OES shipped with MySQL version 4.0. So you can put back the LIBMYSQL.NLM that was there without any functionality problems.

2.) If you are using IDM3 and PHP and Novell Audit and you are using MySQL version 4.0, then you should consider moving to a newer version of MySQL. If you cannot move to a newer version of MySQL, you may need to move your Audit pieces to a different server that is not running PHP or IDM3.

Замечу, что п.2 (про обновление) у меня на стенде не прокатывает, все равно абенд. Пробовал версии 4.1.12/21, 5.x не нашел пока, 5.0.24 вообще не запускается - очевидная ошибка девелоперов.

А еше хотел бы узнать, как составить правило, точнее длинее выражение, а то тех строк 5,6 что есть мне не хватает...

Имеются ввиду запросы? Можно ведь ручками...

[Орлов Алексей]

Владимир, вот именно этот я и нашел, после Вашего письма. Еще раз спасибо.

[RuStn]

to Владимир Горяев
Не запросы, их можно крутить всем чем хочешь, а именно в настройках евентов, там нехватает строк...

[Владимир Горяев]

Еще интересный момент. На сервере NA постепенно обновлялся с версии 1.0.x до 2.0.2, стал что-то тормозить, смотрю на стенде все прекрасно но там голая 2.0.2. После полного удаления NA и сноса схемы, установки 2.0.2 - все устаканилось.

Не запросы, их можно крутить всем чем хочешь, а именно в настройках евентов, там нехватает строк..

В смысле оповещения?

При определении фильтра оповещения указывается значение для конкретного поля события. Чтобы уменьшить объема получаемой в результате информации, можно определить значения для нескольких полей событий. С помощью стандартных операторов "и", "или" и "не" можно определить до 15 условий для событий.

[RuStn]

Кто подскажет SourceIP как получить нормального вида?

[RuStn]

Вот этих то 15 условий и не хватает!
необходимо собирать инфу контретных вещей, исключив конкретные (другие) вещи! вот и не хватает, и приходиться все собирать и собирать всякое...
например ненадо собирать ординаторов null или серверов или и еще какие, а так же исключить папки в которых нет той инфы (интересующей).
Ну в отбщем совсем не хватает...

[Владимир Горяев]

Вот этих то 15 условий и не хватает!
необходимо собирать инфу контретных вещей, исключив конкретные (другие) вещи! вот и не хватает, и приходиться все собирать и собирать всякое...
например ненадо собирать ординаторов null или серверов или и еще какие, а так же исключить папки в которых нет той инфы (интересующей).
Ну в отбщем совсем не хватает...

Во-первых можно несколько оповещений сделать. Во-вторых может наоборот не исключать ненужное, а включать нужное. Использовать что-то типа маски (Contains), коибинации операторов and, or, and not довольно гибки.
По поводу IP. Опять посоветую PHP нтерфейс Максима Кузнецова, кстати и там можно запрос к базе отфильтровать по имени пользователя, файла или папки, просто по времени.

Еще по поводу внесения изменений и их втупления в силу тут был вопрос

Изменение оповещения
Изменение конфигурации выбранного объекта канала.

ВАЖНО: Поиск объектов оповещений в контейнерах оповещений осуществляется только при запуске сервера протоколирования. Поэтому после изменения объекта оповещения необходимо перезапустить сервер протоколирования, чтобы изменения вступили в силу

[Владимир Горяев]

Совсем например не обдуман у них вопрос о том, что же делать с таблицей или таблицами которые выросли, как их сбэкапить или еще что сделать. Есть конечно решение, но оно кривое, действует, но опять же при работе ручками (почти все действия). Да и в сервера что с агентами нелогично добавляются свойства аудита, и т.д. и т.п.

Команды SQL окончания срока действия
Это свойство позволяет с помощью команд SQL окончания срока действия автоматизировать обслуживание базы данных.

Например, можно автоматизировать архивирование данных, настроив канал MySQL на автоматическое сохранение текущей таблицы и создание новой таблицы через заданные интервалы времени.

Список переменных и примеров сценариев команд см. в разделе "SQL Expiration Command Variables" (Переменные команд SQL окончания срока действия) руководства "Novell Nsure Audit Administration Guide" (Руководство по администрированию аудита Novell Nsure).

СОВЕТ: Используйте точку с запятой ( ; ) для разделения нескольких команд, которые должны выполняться последовательно. Если команды можно выполнять в любом порядке, точка с запятой не нужна.




Завершение срока действия в указанное время или интервал
Частота выполнения сценария команд окончания срока действия.

ВАЖНО: Это свойство нужно определять только в том случае, если сценарий команд окончания срока действия не предполагает периодического начала выполнения.

Для ежедневного выполнения выберите время суток.

Для еженедельного выполнения выберите день недели. Команды окончания срока действия будут выполняться в полночь указанного дня недели.

Если выбрать значение Ежемесячно, команды окончания срока действия будут выполняться в полночь первого дня месяца.

В одном извариантов у меня было так:

SQL Expiration Commands:
Delete from $l where ClientTimestamp<(unix_timestamp()-7776000);
Насколько я помню - удалять записи старше 3 месяцев.

[RuStn]

Во-первых можно несколько оповещений сделать. Во-вторых может наоборот не исключать ненужное, а включать нужное. Использовать что-то типа маски (Contains), коибинации операторов and, or, and not довольно гибки.
По поводу IP. Опять посоветую PHP нтерфейс Максима Кузнецова, кстати и там можно запрос к базе отфильтровать по имени пользователя, файла или папки, просто по времени.

Несколько оповещений не объеденить! во вторых, как исключищь очевидное? Null или ordinator'ы самих серверов? у меня серверов 3, каждый что то делает, и вот эти то события исключаю! а в добавок ко всему, надо исключить пару тройку директорий что не нужно собирать, а так же ... Да много надо исключить, оставить только суть!
теми 15 строками не сделать!

По поводу IP. Опять посоветую PHP нтерфейс Максима Кузнецова, кстати и там можно запрос к базе отфильтровать по имени пользователя, файла или папки, просто по времени.

А где взять?

[Владимир Горяев]

Несколько оповещений не объеденить! во вторых, как исключищь очевидное?

А и не надо объединять. Пусть каждое оповещение пишет о своих событиях, хоть в общий канал, хоть в разные каналы. Ну а про очевидное - обычная булева логика.

[Владимир Горяев]

А где взять?

У автора, см. тему выше.