Quando esegui un aggiornamento CU, un dispositivo SIEM può estrarre gli eventi dal database ePO fino al completamento dell'aggiornamento CU.
Se il dispositivo SIEM avvia il pull degli eventi dal database ePO e contemporaneamente viene attivato l'aggiornamento CU, ciò può causare un conflitto con la sessione attiva esistente di SIEM, causando il fallimento dell'aggiornamento CU.
È possibile che si verifichi un errore dell'aggiornamento CU, a causa del carico di pull di eventi dal database ePO a SIEM. Pertanto, si consiglia di interrompere questa connessione prima di eseguire l'aggiornamento CU.
Quando si tratta di SIEM, ci sono molti fornitori e ogni fornitore SIEM utilizza configurazioni diverse per la raccolta di eventi. Per superare questa situazione, è possibile eseguire lo script SQL su ePO per controllare le sessioni attive, l'IP e l'utente attivo configurato per SIEM dal database ePO.
Eseguire i passaggi seguenti per eseguire la nuova query:
- Accedere a SQL Server Management Studio.
- Espandere Database.
- Fai clic con il pulsante destro del mouse sul database principale di ePO e fai clic su Nuova query.
- Incolla lo script seguente nella finestra della query e fai clic su Esegui.
SELECT hostname, con.client_net_address, spr.loginame, count(1) as ConnectionCount
FROM sys.sysprocesses as spr INNER JOIN sys.dm_exec_connections as con on
con.session_id = spr.spid where spr.spid > 50 group by hostname,con.client_net_address,spr.loginame
Esempio di output
Nome host |
Client_net_address |
Login Name |
Conteggio connessione |
RGCSQL |
<local Machine> |
ePOSA |
5 |
RGCSQL |
<local Machine> |
NT
AUTHORITY\SYSTEM |
15 |
RGCAH1 |
10.10.10.99 |
ePOSA |
10 |
RGCAH2 |
10.10.10.101 |
ePOSA |
5 |
RGCePO |
10.10.10.98 |
admin |
1 |
RGCePO PRIMARY |
10.10.20.123 |
qradaruser |
10 |
NOTA: dall'output precedente, è necessario confrontare ePO, server di database e
qradar per verificare le sessioni attive esistenti nel database ePO dallo strumento SIEM.
Seguire le istruzioni seguenti per disabilitare temporaneamente l'account da SQL Server fino al completamento dell'aggiornamento CU:
- Accedere a SQL Server Management Studio.
- Espandere Sicurezza, Accessi.
- Fare doppio clic o fare clic con il pulsante destro del mouse su Proprietà utente.
- Nel riquadro di sinistra, vai alla pagina Stato.
- In Accesso, seleziona Disabilitato e fai clic su OK.
NOTA: Disabilitando l'account, le transazioni attive vengono interrotte. Una volta aggiornato il CU, è possibile eseguire i passaggi precedenti e fare clic su
Abilita per attivare l'account.