L’analyse de tous les événements ePolicy Orchestrator échoue et se bloque dans le dossier Evénements
Articles techniques ID:
KB86011
Date de la dernière modification : 2022-07-12 19:34:51 Etc/GMT
Date de la dernière modification : 2022-07-12 19:34:51 Etc/GMT
Environnement
McAfee ePolicy Orchestrator (ePO) 5.x
Problème
Tous les événements ePO ne sont pas analysés et finissent par être bloqués dans le Events dossier.
LesEventParser.log Erreurs d’enregistrement :
Les
E #08888 EPOEVENTS epoevents.cpp(50): COM Error 0x80040E31, source=Microsoft OLE DB Provider for SQL Server, desc=Query timeout expired, msg=IDispatch error #3121
Lorsque vous affichez le Moniteur d’activité SQL dans SQL Server Management Studio, vous pouvez trouver une requête similaire à celle ci-dessous. La requête indique qu’elle bloque de nombreuses autres requêtes, y compris les requêtes INSERT Event :
Pour plus d’informations sur l’ouverture de l’activité SQL Monitor, consultez l’article de Microsoft suivant : https://msdn.Microsoft.com/en-us/library/ms175518.aspx#SSMSProcedure.
Cause
Ce problème peut être aggravé lorsque de nombreux événements existent dans le EPOEvents tableau. Lorsqu’une requête d’événement est exécutée via un compte d’administrateur non global, ePO doit exécuter des vérifications d’autorisations par rapport au compte d’utilisateur. Cette action est nécessaire pour vérifier que l’utilisateur dispose d’un accès aux groupes et aux produits pour chacun des événements interrogés. Ce processus est gourmand en ressources au sein de SQL et peut utiliser une grande quantité d’e/s disque, de mémoire et de ressources de processeur.
S’il existe des millions d’événements lorsque ePO exécute ce type de requête, il peut provoquer la requête :
Ce problème peut également se produire si le SQL Server comprend des ressources limitées, notamment :
S’il existe des millions d’événements lorsque ePO exécute ce type de requête, il peut provoquer la requête :
- Prendre beaucoup de temps.
- Empêchez ePO d’accéder à la table des événements lorsqu’il tente d’insérer des événements.
Ce problème peut également se produire si le SQL Server comprend des ressources limitées, notamment :
- Mémoire installée insuffisante sur le SQL Server ou mémoire insuffisante allouée à SQL
- Performances d’e/s disque insuffisantes.
- Utilisation intensive du processeur sur le SQL Server.
- Fragmentation de la base de données.
Solution
Les meilleures pratiques suivantes sont recommandées pour résoudre les problèmes lorsque de nombreux événements existent et que le SQL Server contient des ressources limitées.
- Purgez les événements inutiles de la
EPOEvents table. Exécutez cette tâche à l’aide d’une tâche de purge ePO ou manuellement via SQL Server Management Studio.
Pour plus d’informations, voir KB68961 - Comment trouver les 10 principaux événements de menace et purger les événements. - Ajoutez de la mémoire au SQL Server * ou consultez l’article Microsoft à l’adresse https://msdn.Microsoft.com/en-us/library/ms178067.aspx. Cet article fournit des instructions sur la manière d’allouer plus de mémoire à l’utilisation de SQL.
- Ajustez la configuration de votre matériel SQL pour votre environnement, y compris l’espace disque dur, les ressources du processeur et la mémoire. Consultez la rubrique correspondante Guide des meilleures pratiques pour ePolicy Orchestrator pour obtenir des instructions.
- Pour les environnements comptant plus de 10 000 nœuds, assurez-vous que SQL est installé sur un serveur physique. Pour connaître les recommandations de taille importantes pour ePolicy Orchestrator, reportez-vous à la section Guide d’installation d’EPO 5.10.
- Recherchez la fragmentation des index de base de données et reconstruisez les index, le cas échéant.
Pour le plan de maintenance recommandé pour les bases de données ePO, reportez-vous à la section KB67184 -plan de maintenance recommandé pour les bases de données ePolicy Orchestrator à l’aide de SQL Server Management Studio.
Remarque : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.
Résolution
Pour trouver des requêtes de blocage dans SQL Activity Monitor, procédez comme suit :
- Développez le Processus et recherchez la colonne intitulée Blocage de l’en-tête. Les étiquettes de colonne sont tronquées. Vous pouvez voir le nom complet en plaçant la souris sur le nom de la colonne ou en développant la taille de la colonne.
- Cliquez sur la flèche déroulante dans la colonne du blocage de l’en-tête et sélectionnez 1 . Cette action affiche la requête de blocage. S’il n’y a aucun nombre 1 et uniquement le mot Toutes est répertorié, il n’y a pas de processus de blocage. De plus, vous ne voyez pas le problème référencé dans cet article.
- Cliquez avec le bouton droit de la commande sur la commande, répertoriée dans la liste Commande colonne, puis sélectionnez Détails pour afficher l’ensemble de la requête.
Si vous voyez une requête similaire à celle ci-dessus qui se bloque, vous pouvez tenter de tuer la requête. Cliquez avec le bouton droit sur la requête et sélectionnez stopp.
Confirmez si cette action permet aux événements de commencer à effectuer une analyse syntaxique. Si la suppression de la requête résout temporairement le problème, recherchezOrion log une instance de la requête trouvée dans le moniteur d’activité SQL.
Pour obtenir de l’aide, reportez-vous à la section KB52369 -comment activer la journalisation de débogage dans Orion. log
Si vous trouvez un instance de la requête dans le journal Orion, vous pouvez identifier la génération de cette requête. Ce type de requête est le plus souvent provoqué par une requête exécutée à partir d’un tableau de bord utilisateur dans ePO. Si tel est le cas, vous pouvez essayer de fermer toutes les consoles ePO ouvertes pour tous les utilisateurs, afin de déterminer si cette action résout le problème temporairement.
Informations connexes
Pour les documents relatifs aux produits, accédez au portail de la documentation produit.
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
言語:
この記事は、次の言語で表示可能です: