すべての ePolicy Orchestrator イベントの解析に失敗し、最終的にイベント フォルダに残ってしまう
最終更新: 2022-03-21 20:48:37 Etc/GMT
免責事項
言語:
この記事は、次の言語で表示可能です:
常に適応し続ける XDR エコシステムが企業を活性化するしくみをお伝えします。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
Magic Quadrant で、19 のベンダーについてビジョンの完全性と実行能力が評価されました。レポートをダウンロードして詳細をご覧ください。
Gartner によると、XDR は脅威の防止、検出、応答を改善する可能性を秘めた新しい技術です。
2022 年に注意が必要なサイバー セキュリティ脅威は?
サイバー セキュリティ業界に安穏の時はありません。今こそ、この考え方を、ビジネスの活性化につながる利点として、また推進剤として念頭に置くべきです。
サイバー セキュリティの世界で信頼される二大リーダーが 1 つになって、耐久性の高いデジタル ワールドを実現します。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
すべての ePolicy Orchestrator イベントの解析に失敗し、最終的にイベント フォルダに残ってしまう
技術的な記事 ID:
KB86011
最終更新: 2022-03-21 20:48:37 Etc/GMT 環境McAfee ePolicy Orchestrator (ePO) 5.x
問題すべての ePO イベントの解析に失敗し、最終的にイベント フォルダに残ってしまいます。 EventParser.log ファイルに次のメッセージが表示される可能性があります。 20151023122405 E #08888 EPOEVENTS epoevents_dao.cpp(776): COM Error 0x80040E31, source=Microsoft OLE DB Provider for SQL Server, desc=Query timeout expired, msg=IDispatch error #3121 20151023122405 E #08888 EPOEVENTS epoevents.cpp(50): COM Error 0x80040E31, source=Microsoft OLE DB Provider for SQL Server, desc=Query timeout expired, msg=IDispatch error #3121 When you check the SQL Activity Monitor in SQL Server Management Studio, you might find a query similar to the following blocking many other queries, including insert event queries: select count(*) as 'count' datepart( YEAR dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ) ) as 'EPOEvents.DetectedUTC.year' datediff(week dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) + 1 + case when datepart(weekday dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) + @@datefirst - 7) - 1 < 7 and datepart(weekday dateadd(day @@datefirst - 7 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ))) - 1 >= 7 then 1 when datepart(weekday dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) + @@datefirst - 7) - 1 >= 7 and datepart(weekday dateadd(day @@datefirst - 7 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ))) - 1 < 7 then -1 else 0 end as 'EPOEvents.DetectedUTC.week' datepart( YEAR dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ) ) as 'EPOEvents.DetectedUTC.year' datediff(week dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) + 1 + case when datepart(weekday dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) + @@datefirst - 7) - 1 < 7 and datepart(weekday dateadd(day @@datefirst - 7 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ))) - 1 >= 7 then 1 when datepart(weekday dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) + @@datefirst - 7) - 1 >= 7 and datepart(weekday dateadd(day @@datefirst - 7 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ))) - 1 < 7 then -1 else 0 end as 'EPOEvents.DetectedUTC.week' from [EPOEvents] where ( ( [EPOEvents].[Analyzer] is null or ( [EPOEvents].[Analyzer] <> N'DATALOSS2000' )) and ( ( [EPOEvents].[Analyzer] is null or ( [EPOEvents].[Analyzer] <> N'DATALOSS2000' )) and ( ( [EPOEvents].[Analyzer] is null or ( [EPOEvents].[Analyzer] <> N'DATALOSS2000' )) and ( ( [EPOEvents].[Analyzer] is null or ( [EPOEvents].[Analyzer] <> N'DATALOSS2000' )) and ( ( [EPOEvents].[Analyzer] is null or ( [EPOEvents].[Analyzer] <> N'DATALOSS2000' )) and ( ( [EPOEvents].[Analyzer] is null or ( [EPOEvents].[Analyzer] <> N'DATALOSS2000' )) and ( EPOEvents.AgentGUID IN ( SELECT lnd.AgentGUID FROM EPOLeafNode lnd inner join EPOBranchNode bnd on bnd.AutoID = lnd.ParentID inner join EPONodePermissions npr on npr.NodeID = bnd.AutoID WHERE lnd.AgentGUID IS NOT NULL and npr.GroupID in (5 6) ) and ( [EPOEvents].[ThreatCategory] LIKE 'av%' and ( [EPOEvents].[DetectedUTC] between '2015-07-23T20:10:16.288' and '2015-10-22T20:10:16.288' ) ) ) ) ) ) ) ) ) group by datepart( YEAR dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ) ) datediff(week dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) + 1 + case when datepart(weekday dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) + @@datefirst - 7) - 1 < 7 and datepart(weekday dateadd(day @@datefirst - 7 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ))) - 1 >= 7 then 1 when datepart(weekday dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) + @@datefirst - 7) - 1 >= 7 and datepart(weekday dateadd(day @@datefirst - 7 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ))) - 1 < 7 then -1 else 0 end order by datepart( YEAR dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ) ) asc datediff(week dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) + 1 + case when datepart(weekday dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) + @@datefirst - 7) - 1 < 7 and datepart(weekday dateadd(day @@datefirst - 7 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ))) - 1 >= 7 then 1 when datepart(weekday dateadd(year datediff(year 0 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] )) 0) + @@datefirst - 7) - 1 >= 7 and datepart(weekday dateadd(day @@datefirst - 7 dateadd( MILLISECOND -18000000 [EPOEvents].[DetectedUTC] ))) - 1 < 7 then -1 else 0 end asc Reference the following Microsoft article for more information about opening SQL Activity Monitor: https://msdn.microsoft.com/en-us/library/ms175518.aspx#SSMSProcedure.
原因この問題は EPOEvents テーブル内のイベント数の大きさによって悪化します。 ノングローバル管理者アカウントによって、イベント クエリが実行された場合、ePO はグループと製品それぞれのクエリ イベントのアクセス権を持っているかを確認するため、アカウントに対して権限のチェックを実行する必要があります。 このプロセスは非常に SQL 内のリソースを消費し、大量のディスク I/O、メモリ、および CPU リソースを使用します。 ePO がこのタイプのクエリを実行し、数百万のイベントが存在する場合、クエリに非常に時間がかかり、イベントを挿入しようする時に ePO がイベント テーブルにアクセス出来なくなるという可能性を引き起こします。 この問題は、SQL サーバに以下を含む限られたリソースがある場合にも発生します。
解決策次のベスト プラクティスは大量のイベントが存在し、SQL サーバの資源が限られている際に推奨される解決方法です。
回避策SQL アクティビティ モニタを用いてブロッキング クエリを見つける方法
免責事項この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
言語:この記事は、次の言語で表示可能です: |
|