Cuando realiza una actualización de CU, un dispositivo SIEM puede extraer eventos de la base de datos de ePO hasta que se complete la actualización de CU.
Si el dispositivo SIEM comienza a extraer eventos de la base de datos de ePO y la actualización de CU se activa al mismo tiempo, esto puede causar un conflicto con la sesión activa existente de SIEM, lo que provoca que la actualización de CU falle.
Es posible que vea un error en la actualización de CU, debido a la carga de extracción de eventos de la base de datos de ePO a SIEM. Por lo tanto, se recomienda detener esta conexión antes de realizar la actualización de CU.
Cuando se trata de SIEM, hay muchos proveedores y cada proveedor de SIEM usa configuraciones diferentes para la recopilación de eventos. Para superar esta situación, puede ejecutar el script SQL en ePO para verificar las sesiones activas, la IP y el usuario activo configurado para SIEM desde la base de datos de ePO.
Realice los pasos a continuación para ejecutar la nueva consulta:
- Inicie sesión en SQL Server Management Studio.
- Expanda Bases de datos.
- Haga clic con el botón derecho en la base de datos central de ePO y haga clic en Nueva consulta.
- Pegue el siguiente script en la ventana de consulta y haga clic en Ejecutar.
SELECT hostname, con.client_net_address, spr.loginame, count(1) as ConnectionCount
FROM sys.sysprocesses as spr INNER JOIN sys.dm_exec_connections as con on
con.session_id = spr.spid where spr.spid > 50 group by hostname,con.client_net_address,spr.loginame
Salida de ejemplo
Nombre de host |
Client_net_address |
Login Name |
Recuento de conexiones |
RGCSQL |
<local Machine> |
ePOSA |
5 |
RGCSQL |
<local Machine> |
NT
AUTHORITY\SYSTEM |
15 |
RGCAH1 |
10.10.10.99 |
ePOSA |
10 |
RGCAH2 |
10.10.10.101 |
ePOSA |
5 |
RGCEPO |
10.10.10.98 |
admin |
1 |
RGCEPO PRIMARIO |
10.10.20.123 |
qradaruser |
10 |
NOTA: A partir del resultado anterior, debe comparar ePO, el servidor de la base de datos y
qradar para verificar las sesiones activas existentes en la base de datos de ePO desde la herramienta SIEM.
Siga las instrucciones a continuación para deshabilitar temporalmente la cuenta de SQL Server hasta que se complete la actualización de CU:
- Inicie sesión en SQL Server Management Studio.
- Expanda Seguridad, Inicios de sesión.
- Haga doble clic o haga clic con el botón derecho en Propiedades de usuario.
- En el panel izquierdo, vaya a la página Estado.
- En Iniciar sesión, seleccione Deshabilitado y haga clic en Aceptar.
NOTA: Al deshabilitar la cuenta, se detienen las transacciones activas. Una vez que se actualice la CU, puede realizar los pasos anteriores y hacer clic en
Habilitar para activar la cuenta.