작업 및 정책에 대한 이벤트 정보 로깅

이 섹션에서는 중앙 관리 서버 데이터베이스에 이벤트를 저장하는 것과 관련된 계산을 제공하고 이벤트 수를 최소화하여 중앙 관리 서버의 부하를 줄이는 방법에 대한 권장 사항을 제공합니다.

기본적으로 각 작업 및 정책의 속성은 작업 실행 및 정책 적용과 관련된 모든 이벤트를 저장합니다.

그러나 작업이 매우 자주(예, 주당 한 번 이상) 실행되고 상당히 많은 수의 기기(예, 10,000대 이상)에서 실행되는 경우 이벤트 수가 너무 많아서 데이터베이스 한계를 초과할 수 있습니다. 이 경우 작업 설정에서 다음 두 옵션 중 하나를 선택하는 것이 좋습니다:

• 작업 실행 진행 상태와 관련된 이벤트 저장. 이때, 데이터베이스는 작업이 실행되는 각 장치에서 작업 실행, 진행, 완료(성공, 경고 또는 오류)에 대한 정보만 수신합니다.
• 작업 실행 결과만 저장. 이 경우 데이터베이스는 작업이 실행되는 각 기기에서 작업 완료에 대한 정보(성공, 경고 또는 오류)만 수신합니다.

상당히 많은 수의 기기(예, 10,000대 이상)에 대해 정책이 정의된 경우 이벤트 수가 많아지고 이벤트가 데이터베이스에 대량으로 유입될 수 있습니다. 이 경우 정책 설정에서 우선되는 심각 이벤트만 선택하고 로그 기록을 활성화하는 것이 좋습니다. 다른 모든 이벤트의 로그 기록은 비활성화하는 것이 좋습니다.

이렇게 하면 데이터베이스의 이벤트 수를 줄이고, 데이터베이스의 이벤트 테이블에 대한 분석과 관련된 시나리오의 실행 속도를 높이며 다량의 이벤트가 심각 이벤트를 덮어쓰는 위험을 줄일 수 있습니다.

또한 작업 또는 정책과 관련된 이벤트의 저장 기간을 줄일 수 있습니다. 기본 기간은 작업 관련 이벤트는 7일, 정책 관련 이벤트는 30일입니다. 이벤트 저장 기간 변경 시, 조직의 작업 절차와 시스템 관리자가 각 이벤트 분석에 할당할 수 있는 시간을 고려하십시오.

다음과 같은 경우 이벤트 저장 설정을 수정하는 것이 좋습니다:

• Kaspersky Security Center 데이터베이스의 전체 이벤트 중 많은 부분을 차지하는 것은 그룹 작업의 중간 상태 변경과 관련된 이벤트와 정책 적용 관련 이벤트입니다.
• 데이터베이스에 저장되는 전체 이벤트의 수에 대해 설정한 한도를 초과하면, Kaspersky 이벤트 로그에서 이벤트 자동 제거에 대한 항목을 표시하기 시작합니다.

하루에 하나의 기기에서 발생하는 최적의 이벤트 수가 20개를 초과하지 않아야 한다는 가정을 기반으로 이벤트 기록 옵션을 선택하십시오. 필요한 경우 이 제한을 약간 늘릴 수 있지만 네트워크에 연결된 기기 수가 상대적으로 적을 때만(10,000 미만) 이 제한을 늘릴 수 있습니다.