Хранение информации о событиях для задач и политик

В этом разделе приведены рекомендации, как минимизировать количество событий для задач и политик, хранящихся в базе данных Kaspersky Security Center Cloud Console. По умолчанию на каждые 1000 устройств приходится 100 000 событий. При превышении этого ограничения новые события перезаписывают старые. В результате критические события могут исчезнуть. Так же могут возникнуть события предупреждения Сервера администрирования, которые называются Превышено ограничение числа событий, удалены события из базы данных. В этих случаях рекомендуется следовать инструкциям в этом разделе.

В результате повысится скорость выполнения сценариев, связанных с анализом событий. Также эти рекомендации помогут снизить риск того, что критические события будут перезаписаны большим количеством событий.

По умолчанию в свойствах каждой задачи и каждой политики указано сохранение в журнале всех событий, связанных с выполнением задачи и применением политики. Однако если задача запускается часто (например, более одного раза в неделю), количество событий может оказаться слишком большим и события могут заполнить базу данных. В таком случае рекомендуется указать в свойствах задачи один из двух других вариантов:

• Сохранять события, связанные с ходом выполнения задачи. В этом случае Kaspersky Security Center Cloud Console сохраняет с каждого устройства, на котором выполнена задача, в базу данных только информацию о запуске задачи, о ее ходе и о ее выполнении (успешном, с предупреждением либо с ошибкой).
• Сохранять только результат выполнения задачи. В этом случае Kaspersky Security Center Cloud Console сохраняет с каждого устройства, на котором выполнена задача, в базу данных только информацию о выполнении задачи (успешном, с предупреждением либо с ошибкой).

Если политика определена для достаточно большого количества устройств (например, более 10 000), количество событий также может оказаться слишком большим, и события могут заполнить базу данных. В этом случае рекомендуется выбрать в свойствах политики только наиболее важные события и включить их сохранение. Сохранение всех других событий рекомендуется отключить.

Вы также можете уменьшить срок хранения событий, связанных с задачей или политикой. По умолчанию этот срок составляет семь дней для событий, связанных с задачей, и 30 дней для событий, связанных с политикой. При изменении срока хранения событий принимайте в расчет порядок работы, принятый в вашей организации, и количество времени, которое системный администратор может уделять анализу каждого события.

Изменить параметры хранения событий целесообразно, если события об изменении промежуточных статусов групповых задач и события о применении политик занимают большую долю всех событий в базе данных Kaspersky Security Center Cloud Console.

В начало