使用大量条件进行 EDR 搜索需要很长一段时间或失败
技术文章 ID:
KB96113
上次修改时间: 2023-04-13 13:06:36 Etc/GMT
上次修改时间: 2023-04-13 13:06:36 Etc/GMT
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
了解不断适应的 XDR 生态系统如何为您的企业赋能。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
下载 Magic Quadrant 报告,该报告根据执行能力和愿景完成情况,对 19 家供应商进行了评估。
Gartner 报告称,“XDR 是一种新兴技术,可以提供增强的威胁防护、检测和响应。”
企业在 2022 年应警惕哪些网络安全威胁?
网络安全行业绝不是一潭死水,而是危机不断,现在便是接受这一全新安全防护理念,将其转化为自身优势,为企业赋能的最佳时机。
网络安全领域备受信赖的两大领导者携手打造弹性化的数字世界。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
使用大量条件进行 EDR 搜索需要很长一段时间或失败
技术文章 ID:
KB96113
上次修改时间: 2023-04-13 13:06:36 Etc/GMT 环境
端点检测和响应(EDR) ePolicy Orchestrator (ePO) 5.x 问题
历史搜索需要两个多小时才能完成。 对于包含5000或更多哈希条件的搜索查询,大型搜索也无法在三天或更长时间内搜索。 原因
您的搜索包含的查询数量超过最大查询子句数1024。默认情况下,此计数由弹性搜索 6.8.3 在活动目录中设置。弹性搜索中的子句数不是静态值,取决于查询以及堆大小和可供搜索的处理能力。 在此情况下,搜索查询中包含5000或更多哈希,5000或更多匹配条件在查询中显示为子句。这些哈希和条件以及堆大小和处理器数量都与此设置冲突。然后,您会看到 slowness、错误和失败。 解决方案
在您的搜索中,不要超过1024搜索条件的限制。在当前生产环境中,此限制内的搜索可按预期运行所有期间(最多30天)。 执行较小的搜索(最多1024个搜索条件),以使其不会超过当前的后端和服务器限制。 在进行文章创作时,几乎所有服务器都缺少支持和成功完成搜索5000多个条件所需的容量和资源。 注意: 您可以在弹性搜索配置中增加 max 子句计数设置的值。建议不要按照弹性搜索文档进行此更改。此限制已到位,可防止搜索过大而占用太多的 CPU 和内存。增加此值可能会导致性能 degradations 和内存问题。 免责声明本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
|
|