确认是否遇到该问题:
使用下列 SQL 查询查看 SCOR_DATA_CHANNEL 表中的 SCORInventory 数据类型计数。
Query 1 Select DATA_TYPE, count(*) as COUNT from SCOR_DATA_CHANNEL group by DATA_TYPE;
|
DATA_TYPE |
COUNT |
1 |
SCORCommandResponse |
1 |
2 |
SCORDiag |
98 |
3 |
SCORInventory |
758015 |
注意:SCORInventory 数据类型
COUNT 较高表明该问题是因为清单差异或同时为大量主机安排“提取清单”客户端任务所致。
Query 2 Select DATA_TYPE, count(distinct TRANSACTION_ID) as TX_COUNT from SCOR_DATA_CHANNEL group by DATA_TYPE;
|
DATA_TYPE |
TX_COUNT |
1 |
SCORInventory |
758015 |
2 |
SCORCommandResponse |
1 |
3 |
SCORDiag |
98 |
注意:SCORInventory 数据类型的
TX_COUNT 较高可确认该问题是因为清单差异所致。 另外,如果 Query1 中 SCORInventory 的计数较高,但 Query2 中的计数较低,那么该问题可能是由于同时为大量主机安排“提取清单”客户端任务造成的。
解决方法:关闭清单差异,每天在数量有限的主机上运行 SC:“提取清单”客户端任务。
重要事项:参阅
KB81702,了解禁用清单差异功能的影响。
关闭 Solidcore 清单差异功能:
- 登录 ePO 控制台。
- 单击菜单, 策略, 客户端任务目录.
- 单击操作, 新建任务.
- 从任务类型下拉列表中选择SC:运行命令,单击确定.
- 键入任务名称(例如禁用 Solidcore 清单差异),并提供描述(可选)。
- 对于 MACC 6.1 和更低版本,键入:“config set InvDiffConfig=1”。对于 MACC 6.2 和更高版本,键入:“config set InvDiffConfig2=1”
- 单击保存.
- 对于新任务,单击分配。
- 选择我的组织作为客户端任务分配到的组。
- 通过执行代理唤醒呼叫,将客户端任务推送给 Solidcore Agent。
McAfee 建议您最好每天为不超过 300 台主机安排“提取清单”客户端任务。 检查所有 SCORInventory 数据是否是通过 SCOR_DATA_CHANNEL 表处理的,并且逐渐增加主机数量,直至达到最大值。 如果 SCORInventory 数据类型的处理时间超过 24 小时,则会达到最大值。
另外,也可以在 ePO 上启用调试日志记录,并收集 MER。 调试信息指示线程通过一个主机处理清单的用时。
示例
处理开始时记录:
2013-10-29 00:55:43,835 DEBUG [mfs:pool-2-thread-13] inventory.InventoryPullInternalTask - Working on inventory for Agentguid:652F9790-18C9-418D-AD6C-6C786DE4FED3| Txn Id:{15DC4018-D3E6-4903-8BC0-A01D34418088}
处理结束时记录:
2013-10-29 00:56:40,961 DEBUG [mfs:pool-2-thread-13] inventory.InventoryPullInternalTask - Inv Pull done for AgentGuid: 652F9790-18C9-418D-AD6C-6C786DE4FED3