Registrazione delle informazioni sugli eventi per le attività e i criteri
Questa sezione contiene i calcoli associati all'archiviazione degli eventi nel database di Administration Server e offre suggerimenti su come ridurre al minimo il numero di eventi, riducendo quindi il carico su Administration Server.
Per impostazione predefinita, le proprietà di ogni attività e criterio consentono l'archiviazione di tutti gli eventi relativi all'esecuzione delle attività e all'applicazione dei criteri.
Tuttavia, se un'attività viene eseguita con una frequenza elevata (ad esempio più di una volta a settimana) e su un ampio numero di dispositivi (ad esempio più di 10.000), il numero di eventi può rivelarsi troppo ampio e gli eventi possono riempire eccessivamente il database. In questo caso è consigliabile selezionare una delle due opzioni nelle impostazioni dell'attività:
- Salva eventi correlati all'avanzamento dell'attività. In questo caso il database riceve solo le informazioni sull'avvio, sull'andamento e sul completamento dell'attività (completa, con avviso o con errore) da ciascun dispositivo in cui viene eseguita l'attività.
- Salva solo i risultati dell'esecuzione dell'attività. In questo caso il database riceve solo le informazioni sul completamento delle attività (completa, con avviso o con errore) da ciascun dispositivo in cui viene eseguita l'attività.
Se è stato definito un criterio per un ampio numero di dispositivi (ad esempio più di 10.000), il numero di eventi può anche rivelarsi troppo ampio e gli eventi possono riempire eccessivamente il database. In questo caso è consigliabile scegliere solo gli eventi più critici nelle impostazioni del criterio e abilitare la relativa registrazione. È consigliabile disabilitare la registrazione di tutti gli altri eventi.
In tal modo si riduce il numero di eventi nel database, si aumenta la velocità di esecuzione degli scenari associati all'analisi della tabella degli eventi nel database e si limita il rischio che gli eventi critici vengano sovrascritti da un ampio numero di eventi.
È anche possibile ridurre il periodo di archiviazione per gli eventi associati a un'attività o a un criterio. Il periodo predefinito è di 7 giorni per gli eventi correlati alle attività e di 30 giorni per gli eventi correlati ai criteri. Quando si modifica il periodo di archiviazione di un evento è opportuno prendere in considerazione le procedure operative in atto nell'organizzazione e la quantità di tempo che l'amministratore di sistema può dedicare all'analisi di ciascun evento.
È consigliabile modificare le impostazioni di archiviazione degli eventi in uno dei seguenti casi:
- Gli eventi riguardanti modifiche degli stati intermedi delle attività di gruppo e gli eventi correlati all'applicazione dei criteri occupano un'ampia quota del totale degli eventi nel database di Kaspersky Security Center.
- Il registro eventi Kaspersky inizia a mostrare le voci relative alla rimozione automatica degli eventi quando viene superato il limite stabilito sul numero totale di eventi archiviati nel database.
Scegliere le opzioni di registrazione degli eventi partendo dal presupposto che il numero ottimale di eventi che derivano da un singolo dispositivo in un giorno non deve essere superiore a 20. È possibile aumentare leggermente questo limite, se necessario, ma solo se il numero di dispositivi nella rete è relativamente piccolo (inferiore a 10.000).