IMPORTANTE McAfee consiglia di eliminare gli eventi di minaccia con l'attività server incorporata creata a tale scopo. Utilizzare questo articolo solo se le attività predefinite non sono sufficienti.

Questo articolo fornisce indicazioni sull'eliminazione di grandi volumi di evento di minaccia informazioni dal database ePO. Per eseguire questa attività, è necessario utilizzare lo script allegato (PurgeThreatEvents. zip). È necessario modificare lo script per indirizzare gli eventi che si desidera eliminare.

È possibile utilizzare il query SQL allegato per eliminare gli eventi. Per impostazione predefinita, elimina qualsiasi evento con un DetectedUTC tempo di età superiore a 12 mesi in lotti di 10.000 con un ritardo di 5 secondi tra i batch. I test hanno dimostrato che le dimensioni del batch di 10.000 con un ritardo di 5 secondi funzionano correttamente. Tuttavia, potrebbe essere necessario modificare questi valori per l'ambiente. Per regolare i valori, modificare le righe seguenti nella script allegata per riflettere le proprie esigenze:

--* * * * * MODIFICA LE QUATTRO RIGHE SUCCESSIVE IN BASE ALLE ESIGENZE * * * * *
dichiara @BatchSize int = 10000
dichiara @BatchDelaySeconds int = 5
dichiara @DeleteTime int =-12
dichiara @PurgeWhereClause NVARCHAR (MAX) =' DetectedUTC < DATEADD(MM, @DeleteTime, GETDATE())'

Istruzioni per la modifica delle variabili di cui sopra:

• @BatchSize – Maggiore è la dimensione del batch, più rapida è la ripulitura. Le dimensioni del batch più piccole non aumentano di molto il registro delle transazioni.
• @BatchDelaySeconds – Questa variabile controlla la durata del script pause tra i batch. Se si sviluppa un grande backlog di eventi nel DB\Events durante l'esecuzione del script di eliminazione, potrebbe essere necessario aumentare il ritardo in modo che parser evento possa recuperare gli eventi tra i batch.
• @DeleteTime – Se si sta effettuando l'eliminazione in base al tempo, questo parametro controlla la quantità di anni in cui gli eventi vengono eliminati. Per impostazione predefinita, Elimina tutti gli eventi antecedenti a 12 mesi.
• @PurgeWhereClause – Scrivere un'istruzione SELECT per identificare gli eventi che si desidera eliminare. Incollare la clausola WHERE dell'istruzione SELECT in questa variabile, tra le virgolette singole.

Nota Se è necessario includere singole virgolette nella clausola WHERE, è necessario inserire due virgolette singole per evitare di sfuggire alla query.

Esempio di clausole WHERE:

• Elimina tutte le occorrenze di EventId 1095:
  ThreatEventID = 1095

• Ripulisci tutte le occorrenze di EventId 1095 e 1092:
  ThreatEventID IN (1092,1095)

• Ripulisci tutte le occorrenze di EventId 1095 e 1092 che si sono verificati più di 365 giorni (1 anno) fa (passa 365 per la variabile @DeleteTime):
  ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE()) AND ThreatEventID IN (1092,1095)

• Ripulisci tutte le occorrenze dell'evento si sono verificate più di 365 giorni (1 anno) fa (Pass 365 per la variabile @DeleteTime):
  ReceivedUTC < DATEADD(dd, @DeleteTime, GETDATE())

Dopo aver modificato lo script in base alle proprie esigenze, attenersi alle istruzioni riportate di seguito per eseguirlo:

1. Aprire SQL Management Studio e connettersi al database principale di ePO. Vedere KB67591 Se sono necessarie istruzioni dettagliate per questo passaggio.
   
   IMPORANT Se si utilizza ePO 5.10, Non scegliere il database degli eventi. Lo script non non funziona correttamente, a meno che non venga eseguito sul database principale.
   
2. Incollare il contenuto del script nella finestra di query.
3. Fare clic su Eseguire o premere F5.
4. Monitorare il \DB\Events cartella sul server ePO e sui gestori remoti. Confermare che non si dispone di un backlog eccessivo di eventi che si accumulano. In tal caso, è necessario arrestare lo script e ridurre le dimensioni del batch o aumentare il ritardo del batch.
   
   Nota A seconda del numero di eventi che si stanno eliminando, lo script potrebbe richiedere ore o giorni per il completamento. Tuttavia, il server ePO continua a funzionare mentre lo script è in esecuzione.

1. Assicurarsi che il SQLSERVERAGENT il servizio è in esecuzione e viene impostato sulla modalità avvio automatico.
2. Aprire il Microsoft SQL Server Management Studio e passare a SQL Server Agent, Jobs.
3. Fare clic con il pulsante destro del mouse Jobs, quindi selezionare New Job.
4. Specificare un nome per il processo. Per esempio ePO Events purging.
5. Fare clic su Steps nel riquadro a sinistra.
6. Fare clic su New nella finestra dei passaggi.
7. Immettere lo script SQL (PurgeThreatEvents. zip) modificato per soddisfare le proprie esigenze, come spiegato nella sezione precedente.
8. Assicurarsi che il database ePO primario sia selezionato.
9. Fare clic su Schedules, quindi fare clic su New per creare una pianificazione.
10. Assegnare un nome alla pianificazione (ad esempio, Settimanale) e configurare la pianificazione.
11. Fare clic su Notifications. Questa opzione consente di attivare la segnalazione degli errori.
12. Selezionare quanto segue:

• Scrivere nel registro eventi dell'applicazione Windows
• Al termine del processo

12. Per aggiungere la pianificazione, fare clic su Ok.