Für Aufgaben und Richtlinien Informationen über Ereignisse protokollieren

Dieser Abschnitt enthält Empfehlungen zur Minimierung der Anzahl von Ereignissen für Aufgaben und Richtlinien, die in der Datenbank der Kaspersky Security Center Cloud Console gespeichert sind. Standardmäßig verfügen 1.000 Geräte über 100.000 Ereignisse. Wird diese Grenze überschritten, werden alten Ereignisse durch neue überschrieben. Dadurch können kritische Ereignisse verloren gehen. Darüber hinaus kann auf dem Administrationsserver das Ereignis mit der Warnung Die Maximalanzahl an Ereignissen in der Datenbank wurde überschritten. Die Ereignisse wurden gelöscht auftreten. In diesen Fällen empfehlen wir Ihnen, die Anweisungen in diesem Abschnitt zu befolgen.

Dadurch erhöhen Sie die Performance von Szenarien, die mit der Analyse von Ereignissen verbunden sind. Darüber hinaus helfen Ihnen diese Empfehlungen bei der Verringerung des Risikos, dass kritische Ereignisse von einer großen Anzahl an Ereignissen überschrieben werden.

Standardmäßig ist in den Eigenschaften jeder Aufgabe und Richtlinie die Protokollierung aller Ereignisse aktiviert, die mit der Aufgabenausführung und der Anwendung der Richtlinie verbunden sind. Wenn jedoch eine Aufgabe häufig ausgeführt wird (z. B. mehr als einmal pro Woche), kann sich eine große Anzahl an Ereignissen ansammeln, welche die Datenbank überfüllen. In einem solchen Fall empfehlen wir, in den Eigenschaften der Aufgabe eine von zwei Optionen festzulegen:

• Ereignisse in Bezug auf Aufgabenfortschritt speichern. In diesem Fall werden von jedem Gerät, auf dem die Aufgabe ausgeführt wird, nur Informationen über den Start, den Verlauf und den Abschluss der Aufgabe (erfolgreich, mit Warnung oder mit einem Fehler) von Kaspersky Security Center Cloud Console gespeichert.
• Nur die Ergebnisse der Aufgabenausführung speichern. In diesem Fall werden von jedem Gerät, auf dem die Aufgabe ausgeführt wird, nur Informationen über den Abschluss der Aufgabe (erfolgreich, mit Warnung oder mit einem Fehler) von Kaspersky Security Center Cloud Console gespeichert.

Wenn eine Richtlinie einer recht großen Anzahl an Geräten zugewiesen ist (z. B. mehr als 10.000), kann sich eine große Anzahl an Ereignissen ansammeln, welche die Datenbank überfüllen. In einem solchen Fall empfehlen wir, in den Eigenschaften der Richtlinie nur die kritischsten Ereignisse auszuwählen und deren Protokollierung zu aktivieren. Es wird empfohlen, die Speicherung aller anderen Ereignisse zu deaktivieren.

Sie können außerdem die Aufbewahrungsdauer der Ereignisse reduzieren, die mit der Aufgabe (Richtlinie) verbunden sind. Standardmäßig beträgt diese Frist 7 Tage für Ereignisse, die mit einer Aufgabe verbunden sind, und 30 Tage für Ereignisse, die mit einer Richtlinie verbunden sind. Beachten Sie bei der Änderung der Aufbewahrungsfrist der Ereignisse die üblichen Arbeitsvorgänge in Ihrem Unternehmen und die Zeit, die dem Systemadministrator zur Analyse jedes Ereignisses zur Verfügung steht.

Es ist ratsam, die Einstellungen der Ereignisspeicherung zu ändern, wenn Ereignisse über Änderungen des Zwischenstatus von Gruppenaufgaben oder über die Anwendung von Richtlinien einen großen Anteil aller Ereignisse in der Datenbank der Kaspersky Security Center Cloud Console einnehmen.