Kaspersky Security Center

Registro de informações sobre eventos de tarefas e políticas

5 de abril de 2024

ID 159815

Esta seção fornece os cálculos associados com o armazenamento de evento no banco de dados do Servidor de Administração e oferece recomendações sobre como minimizar o número de eventos, portanto reduzindo a carga no Servidor de Administração.

Por padrão, as propriedades de cada tarefa e política fornecem o armazenamento de todos os eventos relativos à execução da tarefa e da obrigatoriedade da política.

No entanto, se uma tarefa for executada com bastante frequência (por exemplo, mais do que uma vez por semana) e em um número bem grande de dispositivos (por exemplo, mais de 10.000), o número de eventos pode resultar ser demasiado grande e os eventos podem inundar o banco de dados. Neste caso, recomenda-se selecionar uma das duas opções nas configurações da tarefa:

  • Salvar eventos relacionados ao progresso da tarefa. Neste caso, o banco de dados somente recebe informações sobre inicialização, andamento e conclusão da tarefa (com êxito, com uma advertência ou erro) de cada dispositivo no qual a tarefa for executada.
  • Salvar apenas os resultados da execução da tarefa. Neste caso, o banco de dados somente recebe informações sobre a conclusão da tarefa (com êxito, com um aviso ou erro) de cada dispositivo no qual a tarefa for executada.

Se uma política tiver sido definida para um número bem grande de dispositivos (por exemplo, mais de 10.000), o número de eventos também pode resultar ser grande, e os eventos podem inundar o banco de dados. Neste caso, recomenda-se somente selecionar os eventos mais críticos nas configurações da política e ativar o seu registro. Você é aconselhado a desativar o registro de todos outros eventos.

Ao fazer isso, você reduzirá o número de eventos no banco de dados, aumentará a velocidade da execução dos cenários associados com a análise da tabela de eventos no banco de dados e abaixará o risco de que os eventos críticos sejam substituídos por um grande número de eventos.

Você também pode reduzir o período de armazenamento para eventos associados com uma tarefa ou política. O período padrão é de 7 dias para eventos relacionados à tarefa e de 30 dias para eventos relacionados à política. Ao modificar o período de armazenamento do evento, considere os procedimentos de trabalho em vigor na sua organização e quanto tempo o administrador de sistema pode dedicar à análise de cada evento.

É aconselhável modificar as configurações de armazenamento do evento em alguns dos seguintes casos:

  • Os eventos relativos a modificações nos estados intermediários de tarefas de grupo e eventos relativos à aplicação de políticas correspondem a um grande percentual de todos os eventos no banco de dados do Kaspersky Security Center Linux.
  • O log do sistema operacional começa a mostrar as entradas sobre a remoção automática de eventos quando o limite estabelecido no número total de eventos armazenados no banco de dados for excedido.

Escolha as opções de registro de evento com base na suposição de que o número ótimo de eventos que vêm de um dispositivo único por dia não deve exceder 20. Você pode aumentar este limite ligeiramente, se necessário, mas somente se o número de dispositivos na sua rede for relativamente pequeno (menos do que 10.000).

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.