Important : Il est conseillé de purger les événements de menace à l’aide de la tâche serveur intégrée créée à cette fin. Utilisez cet article uniquement si les tâches intégrées ne suffisent pas.
Cet article fournit des instructions sur la purge des volumes importants d’informations sur les
événements de menace de la base de données ePO. Pour effectuer cette tâche, vous devez utiliser le script joint (
PurgeThreatEvents.zip ). Vous devez modifier le script pour cibler les événements que vous souhaitez purger.
Vous pouvez utiliser la requête SQL jointe pour purger les événements. Par défaut, il purge tous les événements dont le
DetectedUTC temps est antérieur à 12 mois par lots de 4 900 avec un délai de trois secondes entre les lots. Vous devrez peut-être ajuster ces valeurs pour votre environnement. Les tailles de lots supérieures à 5 000 doivent être évitées, car SQL est à l’origine de la modification d’un verrouillage de ligne en verrouillage de table. Pour ajuster les valeurs, modifiez les lignes suivantes dans la script jointe en fonction de vos besoins :
--*****EDIT THE NEXT FOUR LINES AS NEEDED *****
declare @BatchSize int = 4900
declare @BatchDelaySeconds int = 3
declare @DeleteTime int = -12
declare @PurgeWhereClause NVARCHAR(MAX) = 'DetectedUTC < DATEADD(MM, @DeleteTime, GETDATE())'
Instructions de modification des variables ci-dessus :
- @BatchSize : Plus la taille de votre lot est grande, plus la purge est rapide. Une taille de lot plus petite ne augmente pas autant le journal des transactions. Conservez la taille du lot sous 5 000 pour empêcher SQL de revenir à un verrou de table.
- @BatchDelaySeconds : Cette variable contrôle la durée pendant laquelle la script s’interrompt entre les lots. Si vous développez une grande quantité d’événements dans le <ePOInstallDir>DB\Events dossier alors que la script de purge est en cours d’exécution, vous devrez peut-être augmenter le délai afin que l’analyseur d’événements puisse intercepter les événements entre les lots.
- @DeleteTime : Si vous effectuez une purge par heure, ce paramètre contrôle la durée, en mois, à partir de laquelle les événements sont purgés. Par défaut, il purge tous les événements datant de plus de 12 mois.
- @PurgeWhereClause : Ecrivez une instruction SELECT pour identifier les événements que vous souhaitez purger. Collez la clause WHERE de l’instruction SELECT dans cette variable, entre les guillemets simples.
Remarque : Si vous devez inclure des guillemets simples dans votre clause WHERE, vous devez rassembler deux apostrophes pour éviter d’échapper à la requête.
Exemple de clause WHERE :
- Purger toutes les occurrences de l’ID d’événement 1095 :
ThreatEventID = 1095
- Purger toutes les occurrences de l’ID d’événement 1095 et 1092 :
ThreatEventID IN (1092,1095)
- Purger toutes les occurrences de ID événement. 1095 et 1092, qui se sont produites depuis plus de 365 jours (1 an) auparavant (passez 365 pour la variable @DeleteTime) :
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE()) AND ThreatEventID IN (1092,1095)
- Purger toutes les occurrences des événements survenus depuis plus de 365 jours (1 an) auparavant (Pass 365 pour la variable @DeleteTime) :
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE())
Une fois que vous avez modifié la script pour répondre à vos besoins, suivez les instructions ci-dessous pour l’exécuter :
- Ouvrez SQL Management Studio et connectez-vous à la base de données ePO principale. Reportez -vous à KB67591-How pour exécuter une script SQL fournie par support technique à la base de données ePolicy Orchestrator si vous avez besoin d’instructions détaillées pour cette étape.
IMPORANT : Si vous utilisez ePO 5.10 , ne pointez pas vers la base de données des événements. La script ne fonctionne pas correctement à moins qu’elle ne soit exécutée sur la base de données principale.
- Collez le contenu du script dans la fenêtre de requête.
- Cliquez sur exécuter ou appuyez sur F5.
- Surveillez le <InstallDirectory>\DB\Events dossier sur le serveur ePO et les gestionnaires à distance. Vérifiez que vous ne disposez pas d’un journal d’événements excessif pour la création d’événements. Si vous le faites, vous devez arrêter le script et réduire la taille du lot ou augmenter le délai de traitement du lot d’options.
Remarque : Selon le nombre d’événements que vous purgez, l’script peut prendre des heures ou des jours. Cependant, votre serveur ePO continue de fonctionner pendant l’exécution de script.
Automatisation du script à l’aide d’une tâche SQL Agent
Vous pouvez également automatiser cette script et l’exécuter sur une base planifiée.
Créez une tâche SQL Agent sur le SQL Server hébergeant la base de données ePO :
- Assurez-vous que le service est en cours d’exécution et que vous avez défini le SQLSERVERAGENT mode de démarrage automatique.
- Ouvrez l Microsoft SQL Server Management Studio 'et naviguez jusqu’à SQL Server Agent, Jobs .
- Cliquez Jobs avec le bouton droit de la même façon, puis sélectionnez New Job .
- Spécifiez un nom pour la tâche. Par exemple, ePO Events purging.
- Cliquez sur Steps dans le volet de gauche.
- Cliquez sur New la fenêtre Etapes.
- Entrez le script SQL ( PurgeThreatEvents.zip ) que vous avez modifié en fonction de vos besoins, comme expliqué dans la section ci-dessus.
- Assurez-vous que la base de données ePO principale est sélectionnée.
- Cliquez sur Schedules , puis cliquez New sur pour créer une planification.
- Attribuez un nom à la planification (par exemple, hebdomadaire) et configurez la planification.
- Cliquez sur Notifications Cette option active la génération de rapports d’erreurs.
- Sélectionnez les éléments suivants :
- Écrire dans le journal des événements de l’application Windows
- Fin du travail
Remarque : Vous pouvez modifier les options et consigner un événement uniquement en cas d’échec du travail.
- Pour ajouter la planification, cliquez sur OK.