使用大量条件进行 EDR 搜索需要很长一段时间或失败
技术文章 ID:
KB96113
上次修改时间: 2023-04-13 13:06:36 Etc/GMT
上次修改时间: 2023-04-13 13:06:36 Etc/GMT
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
使用大量条件进行 EDR 搜索需要很长一段时间或失败
技术文章 ID:
KB96113
上次修改时间: 2023-04-13 13:06:36 Etc/GMT 环境
端点检测和响应(EDR) ePolicy Orchestrator (ePO) 5.x 问题
历史搜索需要两个多小时才能完成。 对于包含5000或更多哈希条件的搜索查询,大型搜索也无法在三天或更长时间内搜索。 原因
您的搜索包含的查询数量超过最大查询子句数1024。默认情况下,此计数由弹性搜索 6.8.3 在活动目录中设置。弹性搜索中的子句数不是静态值,取决于查询以及堆大小和可供搜索的处理能力。 在此情况下,搜索查询中包含5000或更多哈希,5000或更多匹配条件在查询中显示为子句。这些哈希和条件以及堆大小和处理器数量都与此设置冲突。然后,您会看到 slowness、错误和失败。 解决方案
在您的搜索中,不要超过1024搜索条件的限制。在当前生产环境中,此限制内的搜索可按预期运行所有期间(最多30天)。 执行较小的搜索(最多1024个搜索条件),以使其不会超过当前的后端和服务器限制。 在进行文章创作时,几乎所有服务器都缺少支持和成功完成搜索5000多个条件所需的容量和资源。 注意: 您可以在弹性搜索配置中增加 max 子句计数设置的值。建议不要按照弹性搜索文档进行此更改。此限制已到位,可防止搜索过大而占用太多的 CPU 和内存。增加此值可能会导致性能 degradations 和内存问题。 免责声明本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
|
|