Importante: Recomendamos que você limpe os eventos de ameaça com a tarefa de servidor interna criada para essa finalidade. Use este artigo somente se as tarefas internas não forem suficientes.
Este artigo fornece orientação sobre como eliminar grandes volumes de informações de
eventos de ameaça do banco de dados do ePO. Para realizar essa tarefa, você deve usar a script anexada (
PurgeThreatEvents.zip ). Você deve modificar o script para direcionar os eventos que deseja eliminar.
Você pode usar a consulta SQL anexada para eliminar eventos. Por padrão, ele elimina qualquer evento com uma
DetectedUTC hora anterior a 12 meses em lotes de 4.900 com um atraso de três segundos entre os lotes. Talvez seja necessário ajustar esses valores para o seu ambiente. Os tamanhos de lote maiores do que 5.000 devem ser evitados, pois ele faz com que o SQL mude de um bloqueio de linha para um bloqueio de tabela. Para ajustar os valores, modifique as seguintes linhas na script anexadas para refletir as suas necessidades:
--*****EDIT THE NEXT FOUR LINES AS NEEDED *****
declare @BatchSize int = 4900
declare @BatchDelaySeconds int = 3
declare @DeleteTime int = -12
declare @PurgeWhereClause NVARCHAR(MAX) = 'DetectedUTC < DATEADD(MM, @DeleteTime, GETDATE())'
Orientação sobre como editar as variáveis acima:
- @BatchSize – Quanto maior o tamanho do lote, mais rápida será a eliminação. Um tamanho de lote menor ainda não aumenta o registro de transações. Mantenha o tamanho do lote abaixo de 5.000 para evitar que o SQL reverta para um bloqueio de tabela.
- @BatchDelaySeconds – Essa variável controla por quanto tempo a script pausa entre os lotes. Se você desenvolver uma grande acumulação de eventos na <ePOInstallDir>DB\Events pasta enquanto o script de limpeza estiver sendo executado, talvez seja necessário aumentar o atraso para que o analisador de eventos possa se acumular nos eventos entre os lotes.
- @DeleteTime – Se você estiver descartando por vez, esse parâmetro controlará a duração, em meses, após a qual os eventos serão eliminados. Por padrão, ele elimina todos os eventos com mais de 12 meses.
- @PurgeWhereClause – Escreva uma declaração SELECT para identificar os eventos que você deseja eliminar. Cole a cláusula WHERE da instrução SELECT nesta variável, entre as aspas simples.
Nota: Se for necessário incluir aspas simples na sua cláusula WHERE, você deve colocar duas aspas simples em conjunto para evitar a saída da consulta.
Exemplo de cláusulas WHERE:
- Eliminar todas as ocorrências de EventID 1095:
ThreatEventID = 1095
- Eliminar todas as ocorrências de EventID 1095 e 1092:
ThreatEventID IN (1092,1095)
- Eliminar todas as ocorrências de EventIDs 1095 e 1092, que ocorreram mais de 365 dias (1 ano) atrás (passe 365 para a variável @DeleteTime):
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE()) AND ThreatEventID IN (1092,1095)
- Eliminar todas as ocorrências de eventos que ocorreram mais de 365 dias (1 ano) atrás (passagem 365 para a variável @DeleteTime):
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE())
Depois de modificar os script para atender às suas necessidades, use as instruções a seguir para executá-lo:
- Abra o SQL Management Studio e conecte-se ao banco de dados do ePO primário. Consulte KB67591-como executar uma script de SQL fornecida pelo suporte técnico em relação ao banco de dados do EPolicy Orchestrator se você precisar de instruções detalhadas para essa etapa.
IMPORANT: Se você estiver usando o ePO 5.10 , não aponte para o banco de dados de eventos. O script não funciona corretamente, a menos que seja executado em relação ao banco de dados principal.
- Cole o conteúdo script na janela consulta.
- Clique em executar ou pressione F5.
- Monitore a <InstallDirectory>\DB\Events pasta no servidor ePO e nos manipuladores remotos. Confirme se você não tem um acúmulo excessivo de eventos de compilação. Se fizer isso, você deverá interromper o script e diminuir o tamanho do lote ou aumentar a demora do lote.
Nota: Dependendo número de eventos que você estiver eliminando, o script pode levar horas ou dias para ser concluído. No entanto, o servidor ePO continuará funcionando enquanto o script estiver em execução.
Automatização do script com um trabalho do SQL Agent
Como opção, você pode automatizar esse script e executá-lo em uma base programada.
Crie um trabalho do SQL Agent no SQL Server hospedando o banco de dados do ePO:
- Verifique se o serviço está em execução e definido para o modo de SQLSERVERAGENT início automático.
- Abra o Microsoft SQL Server Management Studio e navegue até SQL Server Agent, Jobs .
- Clique com o botão direito do mouse em Jobs e selecione New Job .
- Especifique um nome para o trabalho. Por exemplo, ePO Events purging .
- Clique Steps no painel esquerdo.
- Clique New na janela etapas.
- Insira o SQL script ( PurgeThreatEvents.zip ) que você modificou para atender às suas necessidades, conforme explicado na seção acima.
- Verifique se o banco de dados principal do ePO está selecionado.
- Clique em Schedules e, em seguida, clique New para criar uma programação.
- Forneça um nome para a programação (por exemplo, semanalmente) e configure o agendamento.
- Clique em Notifications. Essa opção ativa o relatório de erros.
- Selecione o seguinte:
- Gravar no log de eventos do aplicativo Windows
- Quando o trabalho for concluído
Nota: Você pode alterar as opções e registrar um evento em log somente se o trabalho falhar.
- Para adicionar o agendamento, clique em OK.