Zapisywanie informacji o zdarzeniach dla zadań i profili

19 marca 2024

ID 159815

Ta sekcja zawiera wyliczenia związane z przechowywaniem zdarzeń w bazie danych Serwera administracyjnego i oferuje zalecenia dotyczące zminimalizowania liczby zdarzeń, co pozwala zmniejszyć obciążenie na Serwerze administracyjnym.

Domyślnie, właściwości każdego zadania i profilu zapewniają przechowywanie wszystkich zdarzeń związanych z wykonywaniem zadań i wymuszeniem profilu.

Jednakże, jeśli zadanie jest uruchamiane dość często (na przykład, więcej niż raz w tygodniu) i na całkiem dużej liczbie urządzeń (na przykład, więcej niż 10 000), liczba zdarzeń może okazać się zbyt duża i zdarzenia mogą wypełnić bazę danych. W tym przypadku zalecane jest wybranie jednej z dwóch opcji w ustawieniach zadania:

  • Zapisz zdarzenia dotyczące postępu zadania. W tym przypadku baza danych pobiera tylko informacje o uruchomieniu zadania, postępie i zakończeniu (pomyślnie, z ostrzeżeniem lub błędem) z każdego urządzenia, na którym zadanie jest uruchomione.
  • Zapisz jedynie wyniki wykonywania zadania. W tym przypadku baza danych pobiera tylko informacje o zakończeniu zadania (pomyślnie, z ostrzeżeniem lub błędem) z każdego urządzenia, na którym zadanie jest uruchomione.

Jeśli profil został zdefiniowany dla całkiem dużej liczby urządzeń (na przykład, więcej niż 10 000), liczba zdarzeń może okazać się zbyt duża i zdarzenia mogą wypełnić bazę danych. W tym przypadku zalecane jest wybranie tylko najbardziej krytycznych zdarzeń w ustawieniach profilu i włączenie ich zapisywania. Zalecane jest wyłączenie zapisywania wszystkich pozostałych zdarzeń.

Postępując w ten sposób, zmniejszysz liczbę zdarzeń w bazie danych, zwiększysz prędkość wykonywania scenariuszy skojarzonych z analizą tabeli zdarzeń w bazie danych, a także zmniejszysz ryzyko nadpisania krytycznych zdarzeń przez dużą liczbę zdarzeń.

Możesz także skrócić okres przechowywania zdarzeń skojarzonych z zadaniem lub profilem. Domyślny okres wynosi 7 dni dla zdarzeń związanych z zadaniem oraz 30 dni dla zdarzeń związanych z profilem. Podczas zmiany okresu przechowywania zdarzeń należy uwzględnić procedury obowiązujące w organizacji oraz czas, jaki administrator systemu może poświęcić na przeanalizowanie każdego zdarzenia.

Zmodyfikowanie ustawień przechowywania zdarzeń jest zalecane w następujących przypadkach:

  • Zdarzenia dotyczące zmian w stanach pośrednich zadań grupowych oraz zdarzenia dotyczące stosowania profili zajmują dużą część wszystkich zdarzeń w bazie danych Kaspersky Security Center.
  • Dziennik zdarzeń aplikacji Kaspersky zaczyna wyświetlać wpisy o automatycznym usuwaniu zdarzeń, gdy przekroczony zostanie ustawiony limit całkowitej liczby zdarzeń przechowywanych w bazie danych.

Wybierz opcje zapisywania zdarzeń w oparciu o założenie, że optymalna liczba zdarzeń pochodzących z jednego urządzenia w ciągu dnia nie może przekraczać 20. Jeśli to konieczne, możesz delikatnie zwiększyć ten limit, ale tylko wtedy, gdy liczba urządzeń w sieci jest relatywnie mała (mniej niż 10 000).

Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.