Lorsque vous effectuez une mise à jour de la CU, un appareil SIEM est autorisé à extraire des événements de la base de données ePO jusqu'à ce que la mise à jour de la CU soit terminée.
Si l'appareil SIEM commence à extraire des événements de la base de données ePO et que la mise à jour de la CU est déclenchée en même temps, cela peut provoquer un conflit avec la session active existante de SIEM, entraînant l'échec de la mise à jour de la CU.
Vous pouvez constater un échec de la mise à jour de la CU, en raison de la charge d'événements extraits de la base de données ePO vers SIEM. Il est donc recommandé d'arrêter cette connexion avant d'effectuer la mise à jour de la CU.
En ce qui concerne SIEM, il existe de nombreux fournisseurs et chaque fournisseur SIEM utilise différentes configurations pour la collecte des événements. Pour surmonter cette situation, vous pouvez exécuter le script SQL sur ePO pour vérifier les sessions actives, l'adresse IP et l'utilisateur actif configurés pour SIEM à partir de la base de données ePO.
Effectuez les étapes ci-dessous pour exécuter la nouvelle requête :
- Connectez-vous à SQL Server Management Studio.
- Développez Bases de données.
- Cliquez avec le bouton droit sur la base de données principale ePO et cliquez sur Nouvelle requête.
- Collez le script ci-dessous dans la fenêtre de requête et cliquez sur Exécuter.
SELECT hostname, con.client_net_address, spr.loginame, count(1) as ConnectionCount
FROM sys.sysprocesses as spr INNER JOIN sys.dm_exec_connections as con on
con.session_id = spr.spid where spr.spid > 50 group by hostname,con.client_net_address,spr.loginame
Exemple de sortie
Nom d'hôte |
Client_net_address |
Login Name |
Nombre de connexions |
RGCSQL |
<local Machine> |
ePOSA |
5 |
RGCSQL |
<local Machine> |
NT
AUTHORITY\SYSTEM |
15 |
RGCAH1 |
10.10.10.99 |
ePOSA |
10 |
RGCAH2 |
10.10.10.101 |
ePOSA |
5 |
RGCEPO |
10.10.10.98 |
administrateur |
1 |
RGCEPO PRIMAIRE |
10.10.20.123 |
qradaruser |
10 |
REMARQUE : À partir de la sortie ci-dessus, vous devez comparer ePO, le serveur de base de données et
qradar pour vérifier les sessions actives existantes sur la base de données ePO à partir de l'outil SIEM.
Suivez les instructions ci-dessous pour désactiver temporairement le compte de SQL Server jusqu'à la fin de la mise à jour de la CU :
- Connectez-vous à SQL Server Management Studio.
- Développez Sécurité, puis Connexions.
- Double-cliquez ou cliquez avec le bouton droit sur Propriétés de l'utilisateur.
- Dans le volet de gauche, accédez à la page État.
- Sous Connexion, sélectionnez Désactivé et cliquez sur OK.
REMARQUE : En désactivant le compte, les transactions actives sont arrêtées. Une fois la CU mise à jour, vous pouvez effectuer les étapes ci-dessus et cliquer sur
Activer pour activer le compte.