多数の条件を含む EDR 検索に時間がかかる、または失敗します
技術的な記事 ID:
KB96113
最終更新: 2023-03-08 12:41:25 Etc/GMT
最終更新: 2023-03-08 12:41:25 Etc/GMT
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
常に適応し続ける XDR エコシステムが企業を活性化するしくみをお伝えします。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
Magic Quadrant で、19 のベンダーについてビジョンの完全性と実行能力が評価されました。レポートをダウンロードして詳細をご覧ください。
Gartner によると、XDR は脅威の防止、検出、応答を改善する可能性を秘めた新しい技術です。
2022 年に注意が必要なサイバー セキュリティ脅威は?
サイバー セキュリティ業界に安穏の時はありません。今こそ、この考え方を、ビジネスの活性化につながる利点として、また推進剤として念頭に置くべきです。
サイバー セキュリティの世界で信頼される二大リーダーが 1 つになって、耐久性の高いデジタル ワールドを実現します。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
多数の条件を含む EDR 検索に時間がかかる、または失敗します
技術的な記事 ID:
KB96113
最終更新: 2023-03-08 12:41:25 Etc/GMT 環境
Endpoint Detection and Response (EDR) 3.x ePolicy Orchestrator (ePO) 5.x 問題
Historical Searchが完了するまでに2時間以上かかります。 また、5000 以上のハッシュ条件を含む検索クエリーでは、検索期間が3日以上になると、大規模な検索が失敗します。 原因
検索には、クエリー句の最大数1024より多いクエリーが含まれています。このカウントは、アクティビティカタログの Elastic Search6.8.3 によってデフォルトで設定されています。Elastic Search の句の数は固定値ではなく、ヒープサイズや検索に利用できる処理能力とともに、クエリに依存します。 この状況では、検索クエリーに5000以上のハッシュがあるため、5000以上の一致条件がクエリー内の句として存在します。これらのハッシュと条件は、ヒープサイズとプロセッサ数とともに、この設定に違反します。これにより、パフォーマンスの低下、エラー、およびエラーが表示されます。 解決策
検索条件の最大値1024を超えないようにしてください。この制限内の検索は、現在の実稼働環境ですべての期間 (最大30日間) が予想されるとおりに動作します。 最大で1024の検索条件で小さな検索を実行して、現在のバックエンドとサーバーの制限を超えないようにします。 記事の作成時に、ほとんどすべてのサーバーには、5000以上の条件での検索をサポートし、正常に完了するために必要な容量とリソースがありません。 注: エラスティック検索設定で最大の句の数の設定値を増やすことができます。この変更は、エラスティック検索では推奨されません。この制限は、検索が大きくなりすぎて CPU とメモリが過剰に消費されることを防止するために設けられています。この値を大きくすると、パフォーマンスの低下やメモリの問題が発生することがあります。 免責事項この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
|
|