Quando você executa uma atualização de CU, um dispositivo SIEM tem permissão para extrair eventos do banco de dados ePO até que a atualização de CU seja concluída.
Se o dispositivo SIEM começar a extrair eventos do banco de dados ePO e a atualização da CU for acionada ao mesmo tempo, isso pode causar um conflito com a seção ativa existente do SIEM, fazendo com que a atualização da CU falhe.
Você pode ver uma falha na atualização do CU, devido à carga do evento que extrai do banco de dados do ePO para o SIEM. Portanto, é recomendável interromper esta conexão antes de executar a atualização da UC.
Quando se trata de SIEM, existem muitos fornecedores e cada fornecedor de SIEM usa configurações diferentes para coleta de eventos. Para superar essa situação, você pode executar o script SQL no ePO para verificar as sessões ativas, o IP e o usuário ativo configurados para SIEM no banco de dados do ePO.
Execute as etapas abaixo para executar a nova consulta:
- Faça logon no SQL Server Management Studio.
- Expandir Bancos de Dados.
- Clique com o botão direito do mouse no banco de dados principal do ePO e clique em Nova consulta.
- Cole o script abaixo na janela de consulta e clique em Executar.
SELECT hostname, con.client_net_address, spr.loginame, count(1) as ConnectionCount
FROM sys.sysprocesses as spr INNER JOIN sys.dm_exec_connections as con on
con.session_id = spr.spid where spr.spid > 50 group by hostname,con.client_net_address,spr.loginame
Saída de Exemplo
Nome de host |
Client_net_address |
Login Name |
Contagem de conexões |
RGCSQL |
<local Machine> |
ePOSA |
5 |
RGCSQL |
<local Machine> |
NT
AUTHORITY\SYSTEM |
15 |
RGCAH1 |
10.10.10.99 |
ePOSA |
10 |
RGCAH2 |
10.10.10.101 |
ePOSA |
5 |
RGCEPO |
10.10.10.98 |
admin |
1 |
RGCEPO PRIMÁRIO |
10.10.20.123 |
qradaruser |
10 |
NOTA: Na saída acima, você precisa comparar o ePO, servidor de banco de dados e
qradar para verificar as sessões ativas existentes no banco de dados ePO da ferramenta SIEM.
Siga as instruções abaixo para desabilitar temporariamente a conta do SQL Server até que a atualização do CU seja concluída:
- Faça logon no SQL Server Management Studio.
- Expanda Segurança, Acessos.
- Clique duas vezes ou clique com o botão direito do mouse em Propriedades do usuário.
- No painel esquerdo, vá para a página Status.
- Em Login, selecione Desativado e clique em OK.
NOTA: Ao desabilitar a conta, as transações ativas são interrompidas. Assim que a CU for atualizada, você pode executar as etapas acima e clicar em
Ativar para ativar a conta.