该部分提供了管理服务器数据库中的事件存储计算,并提供如何最小化事件数量的建议,从而降低管理服务器负载。
默认情况下,每个任务和策略的属性可以用于存储所有任务执行和策略强制执行的相关事件。
然而,如果任务运行过于频繁(例如,每周多于一次)且在大量设备间(例如,多于 10,000 台),事件数量可能过大且事件可能溢出数据库。此种情况下,建议选择任务设置的两个选项中的一个:
如果策略为大数量设备定义(例如,多于 10,000 台),事件数量可能很大且事件可能溢出数据库。此种情况下,建议在策略设置中仅选择最关键的事件并启用它们的记录。建议您禁用所有其他事件的记录。
为此,您将降低数据库中的事件数量,提高与数据库中事件表分析相关的场景的执行速度,并降低严重事件被大数量事件覆盖的风险。
您也可以降低任务或策略相关事件的存储期限。任务相关事件和策略相关事件的默认期限分别是 7 天和 30 天。当更改事件存储期限时,请考虑您的组织采用的工作程序以及系统管理员用以分析每个事件的时间。
建议在以下情况修改事件存储设置:
基于每天来自每个设备的事件数量不超过 20 的假设来选择事件记录选项。如果必要,您可以稍微增加该限制,但仅是在您网络中的设备数量相对小时(少于 10,000 台)。
页顶