Registro de información sobre eventos para tareas y directivas

Esta sección proporciona cálculos asociados con el almacenamiento del evento en la base de datos del Servidor de administración y ofrece recomendaciones sobre cómo minimizar el número de eventos y reducir así la carga en el Servidor de administración.

De forma predeterminada, las propiedades de cada tarea y directiva permiten almacenar todos los eventos relacionados con la ejecución de la tarea y la aplicación de la directiva.

Sin embargo, si una tarea se ejecuta con bastante frecuencia (por ejemplo, más de una vez por semana) y en un número bastante grande de dispositivos (por ejemplo, más de 10.000), la cantidad de eventos puede ser demasiado grande y los eventos puede inundar la base de datos. En este caso, se recomienda seleccionar una de dos opciones en la configuración de la tarea:

• Guardar eventos sobre el progreso de la tarea. En este caso, la base de datos solo recibe información sobre el inicio, el progreso y la finalización (correcta, con una advertencia o un error) de la tarea de cada dispositivo en el que se ejecuta.
• Guardar solo los resultados de ejecución de la tarea. En este caso, la base de datos solo recibe información sobre la finalización (correcta, con una advertencia o un error) de la tarea de cada dispositivo en el que se ejecuta.

Si se ha definido una directiva para un número bastante grande de dispositivos (por ejemplo, más de 10.000), la cantidad de eventos también puede ser grande y los eventos pueden inundar la base de datos. En este caso, se recomienda elegir solo los eventos más críticos en la configuración de la directiva y habilitar su registro. Se recomienda desactivar el registro de todos los demás eventos.

Al hacerlo, reducirá la cantidad de eventos en la base de datos, aumentará la velocidad de ejecución de los escenarios asociados con el análisis de la tabla de eventos en la base de datos y disminuirá el riesgo de que una gran cantidad de eventos sobrescriban eventos críticos.

También puede reducir el plazo de almacenamiento para eventos asociados con una tarea o directiva. El período predeterminado es de 7 días para eventos relacionados con la tarea y 30 días para eventos relacionados con la directiva. Cuando cambie el plazo de almacenamiento del evento, tenga en cuenta los procedimientos de trabajo establecidos en su organización y la cantidad de tiempo que el administrador del sistema puede dedicar al análisis de cada evento.

Se recomienda modificar la configuración de almacenamiento de eventos en cualquiera de los siguientes casos:

• Los eventos sobre cambios en los estados intermedios de las tareas de grupo y los eventos sobre la aplicación de directivas ocupan una gran parte de todos los eventos en la base de datos de Kaspersky Security Center.
• El registro de eventos de Kaspersky comienza a mostrar entradas sobre la eliminación automática de eventos cuando se excede el límite establecido en el número total de eventos almacenados en la base de datos.

Elija las opciones de registro de eventos en el supuesto de que la cantidad óptima de eventos procedentes de un solo dispositivo por día no debe exceder 20. Puede aumentar este límite ligeramente, si es necesario, pero solo si la cantidad de dispositivos en su red es relativamente pequeña (menos de 10.000).