拡張イベント テーブルが大きく、イベントを削除しても行数が減りません
最終更新: 2020-12-02 13:04:27 Etc/GMT
免責事項
影響を受ける製品
言語:
この記事は、次の言語で表示可能です:
常に適応し続ける XDR エコシステムが企業を活性化するしくみをお伝えします。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
Magic Quadrant で、19 のベンダーについてビジョンの完全性と実行能力が評価されました。レポートをダウンロードして詳細をご覧ください。
Gartner によると、XDR は脅威の防止、検出、応答を改善する可能性を秘めた新しい技術です。
2022 年に注意が必要なサイバー セキュリティ脅威は?
サイバー セキュリティ業界に安穏の時はありません。今こそ、この考え方を、ビジネスの活性化につながる利点として、また推進剤として念頭に置くべきです。
サイバー セキュリティの世界で信頼される二大リーダーが 1 つになって、耐久性の高いデジタル ワールドを実現します。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
拡張イベント テーブルが大きく、イベントを削除しても行数が減りません
技術的な記事 ID:
KB93761
最終更新: 2020-12-02 13:04:27 Etc/GMT 環境
McAfee ePolicy Orchestrator (ePO) 5.10.x
概要
スクリプトの実行方法については、この記事のいくつかのセクションを参照してください。 SQL スクリプトの実行方法については、KB67591 - ePolicy Orchestrator データベースに対してテクニカル サポートが提供する SQL スクリプトを実行する方法 を参照してください。
問題 1
以下にリストされている 1 つ以上のテーブルの
問題を確認するには: 以下のクエリーを使用して、テーブルの 問題 2
孤立したイベント 以下のクエリーの結果が non-zero の場合は、孤立したイベントがあることを示しています。 from EPOEventsReference R (nolock) left join EPOEvents E (nolock) on R.AutoID = E.AutoID where E.AutoID is null 孤立したイベントとは、イベントへの参照がプライマリ ePO データベースの 標準のメンテナンス タスクでは、これらのイベントは削除されません。 このイベントは通常、ePO 5.9.1 以前用に作成されたパージ クエリーを使用して SQL から脅威イベントを直接パージしている場合に発生します。 この問題は、ePO イベント データベースを復元したが、同時に作成されたバックアップを使用してプライマリ ePO データベースを復元しない場合にも発生する可能性があります。 問題 3
逆孤立イベント 以下のクエリーの結果が from EPOEvents E (nolock) left join EPOEventsReference R (nolock) on E.AutoID = R.AutoID where R.AutoID is null 名前が示すように、逆孤立イベント は孤立イベントの反対です。 逆孤立イベントは、ePO イベント データベースの 標準のメンテナンス タスクでは、これらのイベントは削除されません。 この問題は通常、プライマリ ePO データベースを復元した後に発生しますが、同時に作成したバックアップを使用してイベント データベースを復元しないでください。 原因
ePO 5.10 データベース スキーマは、ePO 5.9.1 以前で使用されていたスキーマとは異なります。 そのため、イベント データのパージに使用される古い SQL スクリプトは、ePO 5.10. では正しく機能しません。 例:
解決策 1
1 つ以上の 孤立したイベント がある場合は、添付の SQL スクリプトをダウンロードし、プライマリ ePO データベースに対して PurgeOrphanedEvents.sql という名前のスクリプトを実行します。 注: このスクリプトを実行するために ePO サービスを停止する必要はありません。 重要: この記事で説明したプロセスを開始する前に、ePO サーバーをバックアップする 必要があり ます。詳細については、以下の KB 記事を参照してください。 解決策 2
1 つ以上の 逆孤立イベント がある場合は、添付の SQL スクリプトをダウンロードし、プライマリ ePO データベースに対して 注: このスクリプトを実行するために ePO サービスを停止する必要はありません。 重要: この記事で説明したプロセスを開始する前に、ePO サーバーをバックアップする 必要があり ます。詳細については、以下の KB 記事を参照してください。 解決策 3
上記の解決策が役に立たず、ePO サーバーがバージョン 5.3.x から 5.9.1、または 5.10 にアップグレードされた場合は、データベース スキーマが適切にアップグレードされていない可能性があります。 このイベントにより、拡張イベント テーブルの外部キーの一部が欠落していることが判明する可能性があります。 正しいスクリプトを使用してイベントをパージすると、対応する行が拡張イベント テーブルから削除されません。
テクニカルサポートに問い合わせるには、[ サービスリクエストの作成] ページに移動 して、ServicePortal にログオンします。
添付ファイル免責事項この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
影響を受ける製品言語:この記事は、次の言語で表示可能です: |
|