サードパーティの SIEM アプリケーションによって発生する SQL タイムアウトイベントの累積

技術的な記事 ID: KB86572
最終更新: 2022/11/18

環境

ePolicy Orchestrator (ePO) 5.x

問題

<ePO_Installation_directory>\DB\Events フォルダーに大量のイベントが蓄積されています。

イベントパーサーログでは、次のエラーが頻繁に検出されます:

SCOR SCORDatabaseUtils.cpp: 125: DB Transaction COM Error : 0x80040e31 # ErrMsg : IDispatch error #3121 # ErrDesc : Query timeout expired
SCOR SCOREventParser.cpp: 91: Error occurred while persisting event to EPOEvent table. Check that the db is up and running, err:-2147467259
EVNTPRSR source\server.cpp(1218): COM Error 0x80004005, source=(null), desc=(null), msg=Unspecified error
HOSTDLPEVENT Error processing event: Query timeout expired
EVNTPRSR source\server.cpp(1218): COM Error 0x80040E31, source=(null), desc=(null), msg=IDispatch error #3121

上記のすべての汎用 SQL タイムアウトイベントは、多くの原因が考えられます。

システムの変更

Arc Sight, などのサードパーティのセキュリティ情報およびイベント管理（SIEM）を ePO と統合しました。

原因

SIEM には、ePO データベース内の 1 つまたは複数のイベントテーブルに永続的なロックが設定されています。ビジー状態の ePO サーバーでは、これらのテーブルには常に書き込みが行われています。そのため、短時間ロックが発生すると、ePO インストールディレクトリに多数のイベントが記録される可能性があります。

解決策

設計上、SQL タイムアウトエラーが原因でイベントが解析されない場合は、再度キューに入れて再試行します。問題が継続する場合は、SIEM のベンダーに連絡して詳細を確認してください。

この記事は、以下のいずれかのシナリオでは適用されません 。

サードパーティの SIEM が使用されていません
SIEM アプリケーションがどの ePO イベントテーブルにもロックを配置していないことがすでに確認されています

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

影響を受ける製品

言語:

この記事は、次の言語で表示可能です:

Knowledge Center

サードパーティの SIEM アプリケーションによって発生する SQL タイムアウトイベントの累積

環境

問題

システムの変更

原因

解決策

免責事項

影響を受ける製品

言語:

Title

Title

Knowledge Center

サードパーティの SIEM アプリケーションによって発生する SQL タイムアウト イベントの累積

環境

問題

システムの変更

原因

解決策

免責事項

影響を受ける製品

言語:

地域を選択してください

Title

Title

サードパーティの SIEM アプリケーションによって発生する SQL タイムアウトイベントの累積