CU アップデートを実行すると、CU の更新が完了するまで、SIEM デバイスは ePO データベースからイベントをプルできます。
SIEM デバイスが ePO データベースからのイベントのプルを開始し、CU アップデートが同時にトリガーされると、SIEM の既存のアクティブセッションとの競合が発生し、CU 更新が失敗する可能性があります。
ePO データベースから SIEM にプルされるイベントの負荷が原因で、CU 更新が失敗する場合があります。このため、CU アップデートを実行する前にこの接続を停止することをお勧めします。
SIEM というと、多くのベンダーが存在し、 SIEM ベンダーごとにイベント収集のための構成が異なっています。この状況を解決するには、ePO で SQL スクリプトを実行して、ePO データベースから SIEM に設定されたアクティブなセッション、IP、アクティブなユーザーを確認します。
新しいクエリーを実行するには、以下の手順を実行します。
- SQL Server Management Studio にログオンします。
- データベース を展開します。
- ePO コアデータベースを右クリックして、新しいクエリーをクリックします。
- 以下のスクリプトをクエリーウィンドウに貼り付けて、 実行をクリックします。
SELECT hostname, con.client_net_address, spr.loginame, count(1) as ConnectionCount
FROM sys.sysprocesses as spr INNER JOIN sys.dm_exec_connections as con on
con.session_id = spr.spid where spr.spid > 50 group by hostname,con.client_net_address,spr.loginame
サンプルの出力
ホスト名 |
Client_net_address |
Login Name |
Connection Count (接続数) |
RGCSQL |
<local Machine> |
ePOSA |
5 |
RGCSQL |
<local Machine> |
NT
AUTHORITY\SYSTEM |
15 |
RGCAH1 |
10.10.10.99 |
ePOSA |
10 |
RGCAH2 |
10.10.10.101 |
ePOSA |
5 |
RGCEPO |
10.10.10.98 |
admin |
1 |
RGCEPO
プライマリ |
10.10.20.123 |
qradaruser |
10 |
注: 上記の出力から、ePO、データベースサーバー、
qradar を比較し、 SIEM ツールから ePO データベース上の既存のアクティブセッションを確認する必要があります。
次の手順に従って、CU アップデートが完了するまで SQL Server からアカウントを一時的に無効にします。
- SQL Server Management Studio にログオンします。
- セキュリティ 、ログイン を展開します。
- ユーザーのプロパティをダブルクリックするか、右クリックします。
- 左側のペインで、 ステータス ページに移動します。
- ログインで 無効 を選択し、 OKをクリックします。
注: アカウントを無効にすると、アクティブなトランザクションが停止します。CU が更新されたら、上記の手順を実行して
有効 をクリックすると、アカウントを有効にすることができます。