Conservation des événements pour les tâches et les stratégies
Cette section donne les calculs liés à la conservation des événements dans la base de données du Serveur d'administration, ainsi que des recommandations sur la manière de minimiser le nombre d'événements et ainsi réduire la charge sur le Serveur d'administration.
Par défaut les propriétés de chaque tâche et stratégie indiquent l'enregistrement dans le journal de tous les événements liés à l'exécution de la tâche et à l'application de la stratégie.
Cependant, si la tâche est lancée assez souvent (par exemple, plus d'une fois par semaine) et sur un nombre assez important d'appareils (par exemple, plus de 10 000), le nombre d'événements peut s'avérer trop important, et les événements peuvent remplir la base de données. Dans pareil cas, il est recommandé d'indiquer dans les propriétés de la tâche une des deux autres options :
- Sauvegarder les événements relatifs à la progression de la tâche. Dans ce cas, la base de données reçoit uniquement des informations sur le lancement, la progression et l'achèvement de la tâche (succès, avec un avertissement ou une erreur) de chaque appareil sur lequel la tâche est exécutée.
- Sauvegarder uniquement le résultat de la tâche. Dans ce cas, à partir de chaque appareil sur lequel est exécutée la tâche, seules les informations sur l'exécution de la tâche (réussi, avec avertissement ou avec erreur) arrivent dans la base de données.
Si la stratégie est définie pour un nombre assez grand d'appareils (par exemple, plus de 10 000), le nombre d'événements peut s'avérer aussi trop grand et les événements peuvent remplir la base de données. Dans pareil cas, il est recommandé de choisir dans les propriétés de la stratégie seulement les événements les plus importants et d'activer leur enregistrement. Il est recommandé de désactiver l'enregistrement de tous les autres événements.
Ainsi, vous diminuez le nombre d'événements dans la base de données, vous augmentez la vitesse de fonctionnement des scénarios liés à l'analyse du tableau des événements dans la base de données, et vous réduisez le risque que les événements critiques soient ignorés.
Vous pouvez également réduire la durée de stockage des événements liés à la tâche ou à la stratégie. Par défaut, ce délai est de 7 jours pour les événements liés à la tâche, et de 30 jours pour les événements liés à la stratégie. Lors de la modification de la durée de stockage des événements, prenez en compte la manière de travailler de votre organisation, et le temps que l'administrateur système peut consacrer à l'analyse de chaque événement.
Il est judicieux d'apporter des modifications dans les paramètres d'enregistrement des événements dans chacun des cas suivants :
- Les événements liés aux modifications des états intermédiaires des tâches de groupe et les événements liés à l'application des stratégies occupent une grande partie de tous les événements de la base de données de Kaspersky Security Center.
- Dans le journal des événements Kaspersky apparaissent des enregistrements sur la suppression automatique des événements lors du dépassement de la limite spécifiée du nombre général des événements conservés dans la base de données.
Choisissez les options d'enregistrement des événements dans le journal sur la base de l'hypothèse selon laquelle le nombre d'événements optimal en provenance d'un seul appareil ne doit pas dépasser 20 par jour. Vous pouvez augmenter cette limite légèrement, le cas échéant, mais uniquement si le nombre d'appareils sur votre réseau est relativement faible (inférieur à 10 000).