Тапсырмалар мен саясаттар үшін оқиғалар туралы ақпаратты сақтау

2024 ж. 29 наурыз

ID 159815

Бұл бөлімде Басқару сервері дерекқорында оқиғаларды сақтаумен байланысты есептеулер келтірілген және оқиғалар санын азайту және осылайша Басқару серверіне түсетін жүктемені азайту бойынша ұсыныстар берілген.

Әдепкі бойынша, әр тапсырманың және әр саясаттың сипаттарында тапсырманы орындауға және саясатты қолдануға байланысты барлық оқиғалардың журналында сақталуы көрсетілген.

Алайда, егер тапсырма жеткілікті жиі (мысалы, аптасына бір реттен көп) және құрылғылардың жеткілікті көп санында (мысалы, 10 000-нан астам) іске қосылса, оқиғалар саны тым көп болуы және оқиғалар дерекқорды толтыруы мүмкін. Бұл жағдайда, тапсырманың сипаттарында қалған екі нұсқаның бірін көрсету ұсынылады:

  • Тапсырманы орындау барысына қатысты оқиғаларды сақтау. Бұл жағдайда, тапсырма орындалған әрбір құрылғыдан дерекқорға тек тапсырманың іске қосылуы, оның барысы және оның орындалуы туралы ақпарат келеді (сәтті, ескертумен немесе қатемен).
  • Тек тапсырманы орындау нәтижелерін сақтау. Бұл жағдайда, тапсырма орындалған әрбір құрылғыдан дерекқорға тек тапсырманың орындалуы туралы ақпарат (сәтті, ескертумен немесе қатемен) келеді.

Егер саясат құрылғылардың жеткілікті көп саны үшін анықталса (мысалы, 10 000-нан астам), оқиғалар саны да тым көп болуы және оқиғалар дерекқорды толтыруы мүмкін. Бұл жағдайда, саясат сипаттарында тек маңызды оқиғаларды таңдап, оларды сақтауды қосу ұсынылады. Барлық басқа оқиғаларды сақтауды өшіру ұсынылады.

Осылайша, сіз дерекқордағы оқиғалардың санын азайтасыз, дерекқордағы оқиғалар кестесін талдаумен байланысты сценарийлердің жұмыс жылдамдығын арттырасыз және критикалық оқиғаларды оқиғалардың көп санымен ығыстыру қаупін азайтасыз.

Сондай-ақ, тапсырмаға немесе саясатқа қатысты оқиғаларды сақтау мерзімін қысқартуға болады. Әдепкі бойынша, бұл мерзім тапсырмамен байланысты оқиғалар үшін жеті күнді және саясатқа қатысты оқиғалар үшін 30 күнді құрайды. Сақтау мерзімі өзгерген кезде ұйымыңызда қабылданған жұмыс тәртібін және жүйе әкімшісінің әрбір оқиғаны талдауға қанша уақыт бөле алатынын ескеріңіз.

Оқиғаларды сақтау параметрлеріне келесі жағдайлардың кез келгенінде өзгерістер енгізген жөн:

  • топтық тапсырмалардың аралық күйлерінің өзгеруі туралы және саясаттарды қолдану туралы оқиғалар Kaspersky Security Center дерекқорындағы барлық оқиғалардың едәуір пайызын алады;
  • Kaspersky Event журналында, дерекқорда сақталатын оқиғалардың жалпы санына белгіленген шектен асқан кезде оқиғаларды автоматты түрде жою туралы жазбалар пайда болады.

Күніне бір құрылғыдан келетін оқиғалардың оңтайлы саны 20-дан аспауы керек деген негізде оқиғаларды тіркеу параметрлерін таңдаңыз. Қажет болса, желіңіздегі құрылғылар саны салыстырмалы түрде аз болған жағдайда ғана (10 000-нан аз), оқиғалардың ең көп санын аздап көбейтуге болады.

Сізге мына мақала пайдалы болды ма?
Нені жақсартуға болады?
Пікіріңіз үшін рақмет! Сіз бізге жұмысымызды жақсартуға көмектесесіз.
Пікіріңіз үшін рақмет! Сіз бізге жұмысымызды жақсартуға көмектесесіз.