本节提供有关如何最大程度地减少 Kaspersky Security Center 云控制台数据库中存储的任务和策略的事件数量的建议。默认情况下,每 1000 台设备有 100,000 个事件。如果超过此限制,新事件将覆盖旧事件。结果,关键事件可能会消失。此外,名为“Events”的管理服务器警告事件超过了数据库中事件数的限制,事件已被删除。在这些情况下,我们建议您按照本节中的说明进行操作。
因此,您将提高执行与事件分析相关的方案的速度。此外,这些建议还可以帮助您降低关键事件被大量事件覆盖的风险。
默认情况下,每个任务和策略的属性可以用于存储所有任务执行和策略强制执行的相关事件。但是,如果任务频繁运行(例如,每周运行一次以上),则事件数量可能会太大,并且事件可能会淹没数据库。此种情况下,建议选择任务设置的两个选项中的一个:
如果策略为大数量设备定义(例如,多于 10,000 台),事件数量可能很大且事件可能溢出数据库。此种情况下,建议在策略设置中仅选择最关键的事件并启用它们的记录。建议您禁用所有其他事件的记录。
您也可以降低任务或策略相关事件的存储期限。任务相关事件和策略相关事件的默认期限分别是 7 天和 30 天。当更改事件存储期限时,请考虑您的组织采用的工作程序以及系统管理员用以分析每个事件的时间。
如果有关组任务中间状态更改的事件和有关应用策略的事件在 Kaspersky Security Center 云控制台数据库中的所有事件中占据很大份额,建议修改事件存储设置。
页顶