Important A McAfee recomenda que você limpe os eventos de ameaça com a tarefa de servidor interna criada para essa finalidade. Use este artigo somente se as tarefas internas não forem suficientes.
Este artigo fornece orientação sobre a eliminação de grandes volumes de
evento de ameaça informações do banco de dados do ePO. Para realizar essa tarefa, você deve usar a script anexada (PurgeThreatEvents. zip). Você deve modificar o script para direcionar os eventos que deseja eliminar.
Você pode usar a consulta SQL anexada para eliminar eventos. Por padrão, ele elimina qualquer evento com um
DetectedUTC tempo com mais de 12 meses em lotes de 10.000 com um atraso de 5 segundos entre os lotes. Os testes mostraram que os tamanhos de lote de 10.000 com atraso de 5 segundos funcionam bem. No entanto, talvez seja necessário ajustar esses valores para o seu ambiente. Para ajustar os valores, modifique as seguintes linhas na script anexadas para refletir as suas necessidades:
--* * * * * EDITE AS PRÓXIMAS QUATRO LINHAS CONFORME O NECESSÁRIO * * * * *
declarar @BatchSize int = 10000
declarar @BatchDelaySeconds int = 5
declarar @DeleteTime int =-12
declarar @PurgeWhereClause NVARCHAR (MAX) = ' DetectedUTC < DATEADD(MM, @DeleteTime, GETDATE())'
Orientação sobre como editar as variáveis acima:
- @BatchSize – Quanto maior o tamanho do lote, mais rápida será a eliminação. Um tamanho de lote menor ainda não aumenta o registro de transações.
- @BatchDelaySeconds – Essa variável controla por quanto tempo a script pausa entre os lotes. Se você desenvolver uma grande acumulação de eventos no DB\Events enquanto o script de limpeza estiver sendo executado, talvez seja necessário aumentar o atraso para que o analisador de eventos possa se acumular nos eventos entre os lotes.
- @DeleteTime – Se você estiver limpando por tempo, esse parâmetro controlará a data em que os eventos foram limpos nos meses. Por padrão, ele elimina todos os eventos com mais de 12 meses.
- @PurgeWhereClause – Escreva uma declaração SELECT para identificar os eventos que você deseja eliminar. Cole a cláusula WHERE da instrução SELECT nesta variável, entre as aspas simples.
INDICADO Se for necessário incluir aspas simples na sua cláusula WHERE, você deve colocar duas aspas simples em conjunto para evitar a saída da consulta.
Exemplo de cláusulas WHERE:
- Eliminar todas as ocorrências de EventID 1095:
ThreatEventID = 1095
- Eliminar todas as ocorrências de EventID 1095 e 1092:
ThreatEventID IN (1092,1095)
- Eliminar todas as ocorrências de EventID 1095 e 1092 que ocorreram mais de 365 dias (1 anos) atrás (passagem 365 para a variável @DeleteTime):
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE()) AND ThreatEventID IN (1092,1095)
- Eliminar todas as ocorrências de evento ocorridas há mais de 365 dias (1 anos) atrás (passagem 365 para a variável @DeleteTime):
ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE())
Depois de modificar os script para atender às suas necessidades, use as instruções a seguir para executá-lo:
- Abra o SQL Management Studio e conecte-se ao banco de dados do ePO primário. Exibidas KB67591 Se você precisar de instruções detalhadas para essa etapa.
IMPORANT: Se você estiver usando o ePO 5.10, Não aponte para o banco de dados de eventos. O script faz não funcionar corretamente, a menos que ele seja executado no banco de dados principal.
- Cole o conteúdo do script na janela consulta.
- Clique Executa ou pressione F5.
- Monitorar o \DB\Events na pasta do servidor ePO e nos manipuladores remotos. Confirme que você não tem um acúmulo excessivo de eventos acumulados. Se fizer isso, você deverá interromper o script e diminuir o tamanho do lote ou aumentar a demora do lote.
INDICADO Dependendo do número de eventos que você estiver eliminando, a script pode levar horas ou dias para ser concluída. No entanto, o servidor ePO continuará funcionando enquanto o script estiver em execução.
Automatização do script com um trabalho do SQL Agent
Como opção, você pode automatizar esse script e executá-lo em uma base programada.
Crie um trabalho do SQL Agent no SQL Server hospedando o banco de dados do ePO:
- Verifique se o SQLSERVERAGENT o serviço está em execução e definido para o modo de início automático.
- Abrir o Microsoft SQL Server Management Studio e navegue até SQL Server Agent, Jobs.
- Clique com o botão direito Jobs, e selecione New Job.
- Especifique um nome para o trabalho. Por exemplo, ePO Events purging.
- Clique Steps no painel esquerdo.
- Clique New na janela etapas.
- Insira o SQL script (PurgeThreatEvents. zip) que você modificou para atender às suas necessidades, conforme explicado na seção acima.
- Verifique se o banco de dados principal do ePO está selecionado.
- Clique Schedulese, em seguida, clique em New para criar uma programação.
- Dê um nome à programação (por exemplo, Folha) e configure o agendamento.
- Clique Notifications. Essa opção ativa o relatório de erros.
- Selecione o seguinte:
- Gravar no log de eventos do aplicativo Windows
- Quando o trabalho for concluído
INDICADO Você pode alterar as opções e registrar um evento em log somente se o trabalho falhar.
- Para adicionar o agendamento, clique em Okey.