重要:我们建议您使用为此创建的内置服务器任务清除威胁事件。 仅在内建任务没有足够的权限使用本文。
本文提供了有关如何清除大量
威胁事件信息。 为完成此任务,必须使用随附的脚本 (PurgeThreatEvents.zip)。 您必须修改该脚本以设置要清除的事件的目标。
您可以使用附加的 SQL 查询来清除事件。 默认情况下,它会使用
DetectedUTC批时间超过 12 个月,批处理之间延迟三秒,每次 4,900 次。 您可能需要根据环境调整这些值。 必须避免大于 5,000 的批处理大小,因为这会导致 SQL 从行锁定更改为表锁定。 若要调整值,请修改附加脚本中的以下行,以反映您的需求:
--****根据需要编辑以下四行 ****
@BatchSize int = 10000
主@BatchDelaySeconds int = 5
@DeleteTime int = -12
@PurgeWhereClause NVARCHAR(MAX)= 'DetectedUTC) < DATEADD(MM, @DeleteTime, GETDATE())'
有关编辑上述变量指导:
- @BatchSize – 批处理大小越大,清除速度越快。 较小的批处理大小不会增加事务日志的大小。
- @BatchDelaySeconds– 此变量控制脚本在批处理之间暂停的量。 如果您开发大量事件积压,DB\Events 文件夹,而清除脚本正在运行,您可能需要增加延迟,以便事件解析器捕获到批处理之间的事件。
- @DeleteTime– 如果按时间进行清除,此参数会控制几个月内清除事件的时间。 默认情况下,它会清除所有超过 12 个月的事件。
- @PurgeWhereClause– 编写 select 语句来识别要清除的事件。 在单引号之间将 select 语句的 WHERE 子句粘贴到此变量中。
注意:如果您需要在 WHERE 子句中包括单引号,则必须将两个单引号放在一起,以避免使查询转义。
WHERE 子句示例:
- 清除 EventID 1095 的所有事件:
ThreatEventID = 1095
- 清除 EventID 1095 和 1092 的所有事件:
ThreatEventID IN (1092,1095)
- 清除 365 天(1 年前)前发生的所有 EventID 1095 和 1092 事件(变量密码为 365 @DeleteTime):
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE()) AND ThreatEventID IN (1092,1095)
- 清除 365 天前 (1 年前) 前发生的所有事件(变量安全通过 365 @DeleteTime):
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE())
根据需要修改脚本后,请使用以下说明执行脚本:
- 打开 SQL Management Studio 并连接到主要 ePO 数据库。 看到KB67591 - 如何根据系统技术支持提供的 SQL ePolicy Orchestrator 数据库如果需要该步骤的详细说明,
不分析:如果您使用的是 ePO5.10,不要指向事件数据库。 该脚本不会工作正确运行,除非它针对主数据库运行。
- 将脚本内容粘贴到查询窗口中。
- 点击执行或按F5.
- 监控\DB\EventsePO 服务器 文件夹。 确认您构建的事件积压过多。 否则,您必须停止脚本,或减小批处理大小或增加批处理延迟。
注意:根据您清除的事件数,脚本可能需要几小时或几天时间才能完成。 但是,ePO 服务器在脚本运行时仍可以正常运行。
通过 SQL 代理作业自动执行脚本
或者,您可以将此脚本自动化并按计划运行。
在托管 ePO 数据库SQL Server SQL Agent 作业:
- 请确保SQLSERVERAGENT服务正在运行,并且设置为自动启动模式。
- 打开 Microsoft SQL Server Management Studio 并导航至 SQL Server Agent, Jobs.
- 右键单击Jobs, 然后选择New Job.
- 指定作业的名称。 例如,ePO Events purging.
- 点击Steps在左侧窗格中。
- 点击New在 步骤 窗口中。
- 如前文所述,输入您修改的 SQL 脚本 (PurgeThreatEvents.zip)。
- 确保选择了主要 ePO 数据库。
- 点击Schedules,然后单击New 以创建计划。
- 给计划命名(例如,每周),然后配置计划。
- Click Notifications. 该选项启用错误报告。
- 选择以下选项:
- 写入到 Windows 应用程序 事件日志
- 该作业完成时间
注意:您可以更改选项,并仅在作业失败时记录事件。
- 要添加计划,请单击还行.