FAUT McAfee recommande de purger les événements de menace à l’aide de la tâche serveur intégrée créée à cette fin. N’utilisez cet article que si les tâches intégrées ne suffisent pas.
Cet article fournit des conseils sur la purge des volumes importants de
Evénement de menace informations de la base de données ePO. Pour effectuer cette tâche, vous devez utiliser le script joint (PurgeThreatEvents. zip). Vous devez modifier le script pour cibler les événements que vous souhaitez purger.
Vous pouvez utiliser la requête SQL jointe pour purger les événements. Par défaut, il purge tous les événements avec un
DetectedUTC temps datant de plus de 12 mois par lots de 10 000 avec un délai de 5 secondes entre les lots. Les tests ont démontré que la taille des commandes de 10 000 avec un délai de 5 secondes fonctionne bien. Toutefois, vous devrez peut-être ajuster ces valeurs pour votre environnement. Pour ajuster les valeurs, modifiez les lignes suivantes dans la script jointe en fonction de vos besoins :
--* * * * * * MODIFIEZ LES QUATRE LIGNES SUIVANTES EN FONCTION DE VOS BESOINS * * * * *
déclarer @BatchSize int = 10000
déclarer @BatchDelaySeconds int = 5
déclarer @DeleteTime int =-12
DECLARE @PurgeWhereClause NVARCHAR (MAX) = 'DetectedUTC < DATEADD(MM, @DeleteTime, GETDATE())'
Instructions de modification des variables ci-dessus :
- @BatchSize : Plus la taille de votre lot est grande, plus la purge est rapide. Une taille de lot plus petite n’augmente pas autant le journal des transactions.
- @BatchDelaySeconds : Cette variable contrôle la durée pendant laquelle la script s’interrompt entre les lots. Si vous développez une grande quantité d’événements en file d’attente dans DB\Events Lorsque le script de purge est en cours d’exécution, il se peut que vous deviez augmenter le délai afin que l’analyseur d’événements puisse intercepter les événements entre les lots.
- @DeleteTime : Si vous effectuez une purge par heure, ce paramètre contrôle l’ancienneté en mois pendant lequel les événements sont purgés. Par défaut, il purge tous les événements datant de plus de 12 mois.
- @PurgeWhereClause : Ecrivez une instruction SELECT pour identifier les événements que vous souhaitez purger. Collez la clause WHERE de l’instruction SELECT dans cette variable, entre les guillemets simples.
Veuillez Si vous devez inclure des guillemets simples dans votre clause WHERE, vous devez rassembler deux apostrophes pour éviter d’échapper à la requête.
Exemple de clause WHERE :
- Purger toutes les occurrences de l’ID d’événement 1095 :
ThreatEventID = 1095
- Purger toutes les occurrences de l’ID d’événement 1095 et 1092 :
ThreatEventID IN (1092,1095)
- Purger toutes les occurrences de l’ID d’événement 1095 et 1092 qui se sont produites il y a plus de 365 jours (1 an) auparavant (passer 365 pour la variable @DeleteTime) :
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE()) AND ThreatEventID IN (1092,1095)
- Purger toutes les occurrences d’événement survenues il y a plus de 365 jours (1 an) (Pass 365 pour la variable @DeleteTime) :
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE())
Une fois que vous avez modifié la script pour répondre à vos besoins, suivez les instructions ci-dessous pour l’exécuter :
- Ouvrez SQL Management Studio et connectez-vous à la base de données ePO principale. Voir KB67591 Si vous avez besoin d’instructions détaillées pour cette étape.
IMPORANT: Si vous utilisez ePO 5.10, Ne pas pointez sur la base de données des événements. Le script ne fonctionne pas correctement à moins qu’il ne soit exécuté sur la base de données principale.
- Collez le contenu du script dans la fenêtre de requête.
- Cliquez sur Exécuter ou appuyez sur Maj+F5.
- Surveiller la \DB\Events dossier sur le serveur ePO et les gestionnaires à distance. Confirmez que vous ne disposez pas d’un retard excessif d’événements de création d’événements. Si vous le faites, vous devez arrêter le script et réduire la taille du lot ou augmenter le délai de traitement du lot d’options.
Veuillez Selon le nombre d’événements que vous purgez, le script peut prendre des heures ou des jours. Cependant, votre serveur ePO continue de fonctionner pendant l’exécution de script.
Automatisation du script à l’aide d’une tâche SQL Agent
Vous pouvez également automatiser cette script et l’exécuter sur une base planifiée.
Créez une tâche SQL Agent sur le SQL Server hébergeant la base de données ePO :
- Vérifiez que le SQLSERVERAGENT le service est en cours d’exécution et défini sur le mode de démarrage automatique.
- Ouvrez la Microsoft SQL Server Management Studio et accédez à SQL Server Agent, Jobs.
- Cliquez avec le bouton droit sur Jobs, puis sélectionnez New Job.
- Spécifiez un nom pour la tâche. Par exemple, ePO Events purging.
- Cliquez sur Steps dans le volet gauche.
- Cliquez sur New dans la fenêtre des étapes.
- Entrez le script SQL (PurgeThreatEvents. zip) que vous avez modifié en fonction de vos besoins, comme expliqué dans la section ci-dessus.
- Assurez-vous que la base de données ePO principale est sélectionnée.
- Cliquez sur Schedules, puis cliquez sur New pour créer une planification.
- Attribuez un nom à la planification (par exemple, Envoyé) et configurez la planification.
- Cliquez sur Notifications. Cette option active la génération de rapports d’erreurs.
- Sélectionnez les options suivantes :
- Écrire dans le journal des événements de l’application Windows
- Fin du travail
Veuillez Vous pouvez modifier les options et consigner un événement uniquement en cas d’échec du travail.
- Pour ajouter la planification, cliquez sur OK.