以下查询可帮助您确定哪些事件在 ePO 数据库中使用的空间最大。
- 使用SQL Server Management Studio以打开查询窗口,并选择主要 ePO 数据库。
相关文章:KB67591 - 如何根据系统技术支持提供的 SQL ePolicy Orchestrator 数据库.
重要:如果您使用的是 ePO5.10,不要选择事件数据库。 该脚本会不除非在主数据库上运行,否则可正常工作。
- 将下面的 SQL 语句粘贴到查询窗口中:
Count(e.ThreatEventID) as [Count], e.ThreatEventID as EventID,
f.[Description] as 'Event Description', e.AnalyzerName as 'Event Source'
from EPOEvents e (nolock) left join EPOEventFilterDesc (nolock) f
on e.ThreatEventID = f.EventId where f.[Language] = '0409'
group by e.ThreatEventID, f.[Description], e.AnalyzerName
order by [Count] desc
- 点击执行或按F5.
- 如果您要停止生成一个或多个此类事件,可在 ePO 控制台中取消选择这些事件。 要完成该任务,请转到菜单,配置,服务器设置,事件过滤.
该查询会返回威胁事件 ePOEvents 表中出现频率最多的前 10 个事件 ID。 如果您的 ePOEvents 表占用太多空间,SQL Server进入下一部分进行清除。
您可能还需要考虑如何减少这些事件的发生时间。 如需帮助,请联系生成事件的产品团队。 它们提供有关如何配置产品以减少这些事件的提示。
- 登录到 ePO 控制台。
- 转到(G)菜单,配置,服务器设置,事件过滤.
- 单击编辑。
- 取消选择您不希望转发至 ePO 的事件 ID。
- 单击保存。