Registrazione delle informazioni sugli eventi per le attività e i criteri
Questa sezione offre suggerimenti per ridurre al minimo il numero di eventi per attività e criteri archiviati nel database di Kaspersky Security Center Cloud Console. Per impostazione predefinita, ogni 1000 dispositivi hanno 100.000 eventi. Se questo limite viene superato, i nuovi eventi sovrascrivono i precedenti. Di conseguenza, gli eventi critici possono scomparire. Inoltre, potrebbe verificarsi l'evento di avviso di Administration Server denominato Poiché è stato superato il limite relativo al numero di eventi nel database, gli eventi sono stati eliminati. In questi casi, è consigliabile seguire le istruzioni contenute in questa sezione.
Di conseguenza, si aumenterà la velocità di esecuzione degli scenari associati all'analisi degli eventi. Questi suggerimenti consentono inoltre di ridurre il rischio che gli eventi critici vengano sovrascritti da un numero elevato di eventi.
Per impostazione predefinita, le proprietà di ogni attività e criterio consentono l'archiviazione di tutti gli eventi relativi all'esecuzione delle attività e all'applicazione dei criteri. Tuttavia, se un'attività viene eseguita di frequente (ad esempio più di una volta a settimana), il numero di eventi può rivelarsi troppo ampio e gli eventi possono riempire eccessivamente il database. In questo caso è consigliabile selezionare una delle due opzioni nelle impostazioni dell'attività:
- Salva eventi correlati all'avanzamento dell'attività. In questo caso Kaspersky Security Center Cloud Console archivia solo le informazioni sull'avvio, sull'avanzamento e sul completamento delle attività (completata, con un avviso o con un errore) da ciascun dispositivo in cui viene eseguita l'attività.
- Salva solo i risultati dell'esecuzione dell'attività. In questo caso Kaspersky Security Center Cloud Console archivia solo le informazioni sul completamento delle attività (completata, con un avviso o con un errore) da ciascun dispositivo in cui viene eseguita l'attività.
Se è stato definito un criterio per un ampio numero di dispositivi (ad esempio più di 10.000), il numero di eventi può anche rivelarsi troppo ampio e gli eventi possono riempire eccessivamente il database. In questo caso è consigliabile selezionare solo gli eventi più critici nelle impostazioni del criterio e abilitare la relativa registrazione. È consigliabile disabilitare la registrazione di tutti gli altri eventi.
È anche possibile ridurre il periodo di archiviazione per gli eventi associati a un'attività o a un criterio. Il periodo predefinito è di 7 giorni per gli eventi correlati alle attività e di 30 giorni per gli eventi correlati ai criteri. Quando si modifica il periodo di archiviazione di un evento è opportuno prendere in considerazione le procedure operative in atto nell'organizzazione e la quantità di tempo che l'amministratore di sistema può dedicare all'analisi di ciascun evento.
È consigliabile modificare le impostazioni di archiviazione degli eventi se gli eventi relativi alle modifiche negli stati intermedi delle attività di gruppo e gli eventi relativi all'applicazione dei criteri rappresentano un'ampia porzione di tutti gli eventi nel database di Kaspersky Security Center Cloud Console.