执行 CU 更新时,允许 SIEM 设备从 ePO 数据库提取事件,直到 CU 更新完成。
如果 SIEM 设备开始从 ePO 数据库提取事件,并且同时触发了 CU 更新,这可能会导致 SIEM 的现有活动会话发生冲突,从而导致 CU 更新失败。
由于将事件从 ePO 数据库提取到 SIEM,您可能会发现对 CU 更新失败。因此,建议在执行 CU 更新之前停止此连接。
谈到 SIEM,有许多供应商和每个 SIEM 供应商都对事件收集使用不同的配置。要解决此问题,您可以在 ePO 上运行 SQL 脚本,以从 ePO 数据库中检查是否有 SIEM 配置的活动会话、IP 和活动用户。
执行以下步骤以运行新查询:
- 登录 SQL Server Management Studio。
- 扩大数据库。
- 右键单击 ePO 核心数据库 ,然后单击 新建查询。
- 将下面的脚本粘贴到查询窗口中,然后单击 执行。
SELECT hostname, con.client_net_address, spr.loginame, count(1) as ConnectionCount
FROM sys.sysprocesses as spr INNER JOIN sys.dm_exec_connections as con on
con.session_id = spr.spid where spr.spid > 50 group by hostname,con.client_net_address,spr.loginame
输出示例
主机名 |
Client_net_address |
Login Name |
连接计数 |
RGCSQL |
<local Machine> |
ePOSA |
5 |
RGCSQL |
<local Machine> |
NT
AUTHORITY\SYSTEM |
15 |
RGCAH1 |
10.10.10.99 |
ePOSA |
10 |
RGCAH2 |
10.10.10.101 |
ePOSA |
5 |
RGCEPO |
10.10.10.98 |
admin |
1 |
RGCEPO
主要 |
10.10.20.123 |
qradaruser |
10 |
注意: 在上述输出中,您需要比较 ePO、数据库服务器,并
qradar 从 SIEM 工具验证 ePO 数据库上的现有活动会话。
按照以下说明从 SQL Server 临时禁用帐户,直到完成 CU 更新:
- 登录 SQL Server Management Studio。
- 展开安全,登录。
- 双击或右键单击 用户属性。
- 在左侧窗格中,转至 " 状态 " 页面。
- 在 "登录" 下,选择 禁用 然后单击 确定。
注意: 通过禁用该帐户,活动的交易记录会停止。更新 CU 后,您可以执行上述步骤,然后单击
启用 以激活该帐户。