DRA 會在管理伺服器的記錄歸檔中記錄使用者活動資料。DRA 會建立每日記錄歸檔分割區,以儲存當天收集及標準化的資料。DRA 會使用管理伺服器上本機時間的日期 (YYYYMMDD),作為每日記錄歸檔分割區的命名慣例。
如果您已啟用「管理包告收集器」,DRA 會將記錄歸檔資料輸出至 SQL Server 資料庫,作為 DRA 管理報告的來源。
DRA 一開始預設會將記錄資料無限期保留在記錄歸檔中。記錄歸檔大小會達到大小上限,這個上限是在安裝時根據可用硬碟空間所決定的。當記錄歸檔超過此大小上限時,系統就不會儲存新的稽核事件。您可以針對資料保留設定時間限制,DRA 會透過稱為清理的程序移除最舊的資料,為較新的資料騰出空間。請在啟用清理之前,確定已準備好備份策略。您可以使用「記錄歸檔組態」公用程式來設定記錄歸檔保留期間。如需詳細資訊,請參閱 修改記錄歸檔清理設定。
您可以使用「記錄歸檔檢視器」公用程式來檢視儲存在記錄歸檔檔案中的資料。您可以選擇與 DRA 一併安裝的 NetIQ DRA Log Archive Resource Kit (LARK),提供「記錄歸檔檢視器」公用程式。如需詳細資訊,請參閱 NetIQ DRA Log Archive Resource Kit 技術參考。
記錄歸檔檔案是記錄區塊的集合。因為記錄歸檔檔案是位於實體資料庫外部的壓縮二進位檔案,所以您不需要使用 Microsoft SQL Server Management Studio 來備份記錄歸檔。如果您已準備好自動化檔案備份系統,您的記錄歸檔檔案就會像其它檔案一樣自動備份。
規劃備份策略時請記住下列最佳實務:
每天都會建立單一分割區,其中包含當天的事件資料。當您啟用清理時,「記錄歸檔服務」預設每 90 天會自動清理這些分割區中的資料。備份策略應該將清理排程納入考量以決定備份的頻率。當清理記錄歸檔分割區時,DRA 會刪除二進位檔案。您無法擷取已清理的資料。您必須從備份還原已清理的資料。如需詳細資訊,請參閱 修改記錄歸檔清理設定。
您應該只在分割區關閉之後才進行備份。在正常狀況下,分割區會在隔天午夜的 2 小時內關閉。
將分割區資料夾及其所有子資料夾視為一個單位來進行備份及還原。在進行分割區備份時備份 VolumeInfo.xml 檔案。
如果您想要還原報告的記錄歸檔分割區,請確定已保留備份的記錄歸檔或者可以還原為其原始格式。
當設定您的程序以備份記錄歸檔檔案時,NetIQ 建議您同時排除位於主要記錄歸檔資料夾中的 index_data 和 CubeExport 子資料夾。這些子資料夾包含暫存資料,不應該進行備份。
當您安裝 DRA 時,記錄歸檔清理依預設為停用。當您為您的記錄歸檔檔案建立定期備份程序時,應該啟用記錄歸檔清理以節省磁碟空間。您使用「記錄歸檔組態」公用程式來修改記錄歸檔分割區清理前的天數。
若要變更記錄歸檔分割區在進行清理之前的天數:
請使用「本機管理員」群組成員的帳戶登入管理伺服器。
在「NetIQ 管理」程式群組中啟動記錄歸檔組態。
按一下記錄歸檔伺服器設定。
如果您想要啟用分割區清理,請將分割區清理已啟用欄位的值設為 True。
在清理前的天數欄位中,輸入您想要在清理前保留記錄歸檔分割區的天數。
按一下「套用」。
按一下「是」。
按一下「關閉」。
找到 NetIQLogArchiveData\<Partition Name> 資料夾的路徑,一般是:C:\ProgramData\NetIQ\DRA\NetIQLogArchiveData
如果未勾選指定分割區內檔案或資料夾上的「File is ready for archiving」屬性 (在檔案或資料夾內容中),您必須編輯 CONFIG 檔案以啟用記錄歸檔清理。若要瞭解為何要或不要勾選此屬性,請參閱知識庫文章您要如何為 DRA 記錄歸檔資料設定資料保留期間?中的額外資訊一節
若要啟用 DRA 記錄歸檔伺服器以清理未歸檔的資料:
以本機管理員群組成員的身分登入每個 DRA 伺服器視窗主控台本機。
使用文字編輯器開啟 C:\ProgramData\NetIQ\Directory Resource Administrator\LogArchiveConfiguration.config 檔案,並且找出 <Property name="GroomUnarchivedData" value="false" /> 行。
將 "false" 變更為 "true" 並且儲存檔案。
重新啟動 NetIQ DRA 記錄歸檔服務。
附註:如果您修改任何記錄歸檔設定,則必須重新啟動記錄歸檔服務才能讓變更生效。