Importante: Si consiglia di eliminare gli eventi di minaccia con l'attività server incorporata creata a tale scopo. Utilizzare questo articolo solo se le attività predefinite non sono sufficienti.
In questo articolo vengono fornite indicazioni su come eliminare grandi quantità di informazioni sugli
eventi di minaccia dal database ePO. Per eseguire questa attività, è necessario utilizzare lo script allegato (
PurgeThreatEvents.zip ). È necessario modificare lo script per indirizzare gli eventi che si desidera eliminare.
È possibile utilizzare il query SQL allegato per eliminare gli eventi. Per impostazione predefinita, elimina qualsiasi evento con un
DetectedUTC tempo antecedente a 12 mesi in lotti di 4.900 con un ritardo di tre secondi tra i batch. Potrebbe essere necessario modificare questi valori per l'ambiente. Le dimensioni batch superiori a 5.000 devono essere evitate, poiché causa la modifica di SQL da un blocco di riga a un blocco di tabella. Per regolare i valori, modificare le righe seguenti nella script allegata per riflettere le proprie esigenze:
--*****EDIT THE NEXT FOUR LINES AS NEEDED *****
declare @BatchSize int = 4900
declare @BatchDelaySeconds int = 3
declare @DeleteTime int = -12
declare @PurgeWhereClause NVARCHAR(MAX) = 'DetectedUTC < DATEADD(MM, @DeleteTime, GETDATE())'
Istruzioni per la modifica delle variabili di cui sopra:
- @BatchSize – Maggiore è la dimensione del batch, più rapida è la ripulitura. Le dimensioni del batch più piccole non aumentano il numero di transazioni. Mantenere le dimensioni del batch in 5.000 per impedire a SQL di tornare a un blocco di tabella.
- @BatchDelaySeconds – Questa variabile controlla la durata del script pause tra i batch. Se si sviluppa un grande backlog di eventi nella <ePOInstallDir>DB\Events cartella durante l'esecuzione dell'eliminazione script, potrebbe essere necessario aumentare il ritardo in modo che l'evento parser possa recuperare gli eventi tra i batch.
- @DeleteTime – Se si sta effettuando l'eliminazione in base al tempo, questo parametro controlla la durata, in mesi, dopo la quale gli eventi vengono eliminati. Per impostazione predefinita, Elimina tutti gli eventi antecedenti a 12 mesi.
- @PurgeWhereClause – Scrivere un'istruzione SELECT per identificare gli eventi che si desidera eliminare. Incollare la clausola WHERE dell'istruzione SELECT in questa variabile, tra le virgolette singole.
Nota: Se è necessario includere singole virgolette nella clausola WHERE, è necessario inserire due virgolette singole per evitare di sfuggire alla query.
Esempio di clausole WHERE:
- Elimina tutte le occorrenze di EventId 1095:
ThreatEventID = 1095
- Ripulisci tutte le occorrenze di EventId 1095 e 1092:
ThreatEventID IN (1092,1095)
- Ripulisci tutte le occorrenze di EventIDs 1095 e 1092, che si sono verificate più di 365 giorni (1 anno) fa (passa 365 per la variabile @DeleteTime):
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE()) AND ThreatEventID IN (1092,1095)
- Ripulisci tutte le occorrenze di eventi che si sono verificati più di 365 giorni (1 anno) fa (passa 365 per la variabile @DeleteTime):
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE())
Dopo aver modificato lo script in base alle proprie esigenze, attenersi alle istruzioni riportate di seguito per eseguirlo:
- Aprire SQL Management Studio e connettersi al database principale di ePO. Vedi KB67591-come eseguire un script SQL fornito da assistenza tecnica sul database di ePolicy Orchestrator se sono necessarie istruzioni dettagliate per questo passaggio.
IMPORANT: Se si sta utilizzando ePO 5.10 , non puntare al database degli eventi. Lo script non funziona correttamente, a meno che non venga eseguito sul database principale.
- Incollare il contenuto del script nella finestra di query.
- Fare clic su Esegui o premere F5.
- Monitorare la <InstallDirectory>\DB\Events cartella sul server ePO e sui gestori remoti. Confermare che non si dispone di un backlog eccessivo di eventi che si accumulano. In tal caso, è necessario arrestare lo script e ridurre le dimensioni del batch o aumentare il ritardo del batch.
Nota: A seconda del numero di eventi che si stanno eliminando, lo script può richiedere ore o giorni per il completamento. Tuttavia, il server ePO continua a funzionare mentre lo script è in esecuzione.
Automazione del script con un processo SQL Agent
Facoltativamente, è possibile automatizzare questo script e farlo funzionare in base a una pianificazione.
Creare un processo SQL Agent nella SQL Server che ospita il database ePO:
- Assicurarsi che il servizio sia in esecuzione e impostare la SQLSERVERAGENT modalità di avvio automatico.
- Aprire il Microsoft SQL Server Management Studio e accedere a SQL Server Agent, Jobs .
- Fare clic con il pulsante destro del mouse Jobs , quindi selezionare New Job .
- Specificare un nome per il processo. Ad esempio, ePO Events purging .
- Fare clic Steps sul riquadro a sinistra.
- Fare clic su New nella finestra passaggi.
- Immettere lo script SQL ( PurgeThreatEvents.zip ) che è stato modificato per soddisfare le proprie esigenze, come spiegato nella sezione precedente.
- Assicurarsi che il database ePO primario sia selezionato.
- Fare clic Schedules su, quindi fare clic New per creare una pianificazione.
- Assegnare un nome alla pianificazione (ad esempio, settimanalmente) e configurare la pianificazione.
- Fare clic su Notifications. Questa opzione consente di attivare la segnalazione degli errori.
- Selezionare quanto segue:
- Scrivere nel registro eventi dell'applicazione Windows
- Al termine del processo
Nota: È possibile modificare le opzioni e registrare un evento solo se il processo non riesce.
- Per aggiungere la pianificazione, fare clic su OK.