As tabelas de eventos estendidos são grandes e os eventos de eliminação não reduzem o número de linhas
Última modificação: 18/07/2022
Aviso de isenção de responsabilidade
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas:
Veja como um ecossistema XDR que está sempre se adaptando pode energizar sua empresa.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
Faça download do relatório Magic Quadrant, que avalia os 19 fornecedores com base na capacidade de execução e na abrangência de visão.
De acordo com a Gartner, “o XDR é uma tecnologia emergente que pode oferecer melhor prevenção, detecção e resposta a ameaças”.
Quais ameaças à segurança cibernética devem estar no radar das empresas em 2022?
A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Duas líderes confiáveis em segurança cibernética se uniram para criar um mundo digital resiliente.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
As tabelas de eventos estendidos são grandes e os eventos de eliminação não reduzem o número de linhas
Artigos técnicos ID:
KB93761
Última modificação: 18/07/2022 Ambiente
ePolicy Orchestrator (ePO) 5.10.x
Resumo
Várias seções deste artigo fazem referência a execução de um script. Para obter orientação sobre como executar um script de SQL, consulte KB67591-como executar uma script de SQL fornecida pelo suporte técnico contra o banco de dados do EPolicy Orchestrator.
Problema 1
O
Para verificar o problema: Você pode usar a consulta a seguir para determinar o Problema 2
Eventos órfãos Se os resultados da consulta abaixo aparecerem diferentes de zero, o que indica que você tem eventos órfãos: from EPOEventsReference R (nolock) left join EPOEvents E (nolock) on R.AutoID = E.AutoID where E.AutoID is null Eventos órfãos significam que uma referência ao evento está presente na As tarefas de manutenção padrão não removem esses eventos. Geralmente, esse evento ocorre se você estiver limpando eventos de ameaça diretamente do SQL usando uma consulta de limpeza escrita para o ePO 5.9.1 ou anterior. Esse problema também pode acontecer se você restaurar o banco de dados de eventos do ePO. Visto quando você não restaura o banco de dados principal do ePO usando um backup que foi criado ao mesmo tempo. Problema 3
Inverter eventos órfãos Se os resultados da consulta a seguir aparecerem from EPOEvents E (nolock) left join EPOEventsReference R (nolock) on E.AutoID = R.AutoID where R.AutoID is null Como o nome já diz, os eventos órfãos invertidos são os opostos de eventos órfãos. Um evento órfão invertido é um evento que está presente na Uma tarefa de manutenção padrão não remove esses eventos. Esse problema normalmente ocorre após a restauração do banco de dados principal do ePO, mas não restaura o banco de dados de eventos usando um backup feito ao mesmo tempo. Problema 4
Os erros a seguir são registrados no Causa
O esquema do banco de dados do ePO 5.10 é diferente do esquema usado no ePO 5.9.1 e em versões anteriores. Os scripts SQL mais antigos usados para eliminar dados de eventos não funcionam corretamente no ePO 5.10. Por exemplo:
Solução 1
Se você tiver um ou mais eventos órfãos, download os scripts SQL anexados e execute o script chamado PurgeOrphanedEvents. SQL contra o banco de dados principal do ePO. Nota: Os serviços do ePO não precisam ser interrompidos para que a execução deste script seja executada. IMPORTANTE: antes de iniciar o processo explicado neste artigo, você deverá fazer o backup do servidor ePO. Consulte os seguintes artigos da base de conhecimento para obter mais informações: Solução 2
Se você tiver um ou mais eventos órfãos invertidos, download os scripts SQL anexados e execute o script nomeado Nota: Os serviços do ePO não precisam ser interrompidos para que a execução deste script seja executada. IMPORTANTE: antes de iniciar o processo explicado neste artigo, você deverá fazer o backup do servidor ePO. Consulte os seguintes artigos da base de conhecimento para obter mais informações: Solução 3
Quando o servidor ePO tiver sido atualizado de versão 5.3.x para 5.9.1 ou 5.10 : Se as soluções acima não ajudarem, é possível que o esquema do banco de dados não tenha sido atualizado corretamente. Esse evento pode fazer com que algumas chaves estrangeiras em tabelas de eventos estendidas estejam ausentes. Quando você limpa eventos usando as script corretas, as linhas correspondentes não são removidas das tabelas de eventos estendidos.
Para criar uma solicitação de serviço, Entre no ServicePortal:
AnexoAviso de isenção de responsabilidadeO conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetadosIdiomas:Este artigo está disponível nos seguintes idiomas: |
|