Ansichten:
Siehe Wie lange werden Ereignisse gespeichert? für Details zur Speicherfrist für System- und Sicherheitsereignisse.
Schritte zur Kontrolle des Speichers beachten:

Prozedur

  1. Sicherheitsereignisse an externen Speicher weiterleiten. Siehe Ereignisse an einen externen Syslog- oder SIEM-Server weiterleiten.
  2. Legen Sie Schwellenwerte im Protokollinspektionsmodul für die Ereignisspeicherung oder Ereignisweiterleitung fest. Severity clipping ermöglicht es Ihnen, Ereignisse an einen Syslog Server zu senden (falls aktiviert) oder Ereignisse basierend auf dem Schweregrad der Protokollinspektionsregel zu speichern. Siehe Schwellenwerte für Ereignisspeicherung oder Ereignisweiterleitung.

Nächste Schritte

Protokolldateigrößen begrenzen Übergeordnetes Thema

Sie können die maximale Größe jeder einzelnen Protokolldatei festlegen und wie viele der neuesten Dateien aufbewahrt werden. Ereignisprotokolldateien werden geschrieben, bis sie die maximal zulässige Größe erreichen, woraufhin eine neue Datei erstellt und beschrieben wird, bis sie die maximale Größe erreicht, und so weiter. Sobald die maximale Anzahl von Dateien erreicht ist, wird die älteste gelöscht, bevor eine neue Datei erstellt wird. Ereignisprotokolleinträge haben normalerweise eine durchschnittliche Größe von etwa 200 Byte, sodass eine Protokolldatei von 4 MB etwa 20.000 Protokolleinträge enthält. Wie schnell Ihre Protokolldateien gefüllt werden, hängt von der Anzahl der vorhandenen Regeln ab.

Prozedur

  1. Öffnen Sie das Computer or Policy editor für die Richtlinie, die Sie konfigurieren möchten.
  2. Navigieren Sie zu EinstellungenErweitertEreignisse.
  3. Konfigurieren Sie diese Eigenschaften:
    • Maximum size of the event log files (on Agent/Appliance): Maximale Größe, die die Protokolldatei erreichen kann, bevor eine neue Protokolldatei erstellt wird.
    • Number of event log files to retain (on Agent/Appliance): Maximale Anzahl von Protokolldateien, die aufbewahrt werden. Sobald die maximale Anzahl erreicht ist, wird die älteste Datei gelöscht, bevor eine neue erstellt wird.
    • Do Not Record Events with Source IP of: Diese Option ist nützlich, wenn Sie nicht möchten, dass Server- und Workload Protection Ereignisse für den Datenverkehr von bestimmten vertrauenswürdigen Computern aufzeichnet.
    Hinweis
    Hinweis
    Die folgenden drei Einstellungen ermöglichen es Ihnen, die Ereignisaggregation fein abzustimmen. Um Speicherplatz zu sparen, nehmen die Agenten mehrere Vorkommen identischer Ereignisse und fassen sie zu einem einzigen Eintrag zusammen, wobei sie eine "Wiederholungsanzahl", einen "ersten Vorkommen"-Zeitstempel und einen "letzten Vorkommen"-Zeitstempel anhängen. Um Ereigniseinträge zu aggregieren, müssen die Agenten die Einträge im Speicher zwischenspeichern und dann auf die Festplatte schreiben.
    • Cache Size: Bestimmt, wie viele Arten von Ereignissen zu einem bestimmten Zeitpunkt verfolgt werden sollen. Wenn Sie einen Wert von 10 festlegen, bedeutet dies, dass 10 Arten von Ereignissen verfolgt werden (mit einer Wiederholungsanzahl, einem Zeitstempel des ersten Auftretens und einem Zeitstempel des letzten Auftretens). Wenn ein neuer Ereignistyp auftritt, wird das älteste der 10 aggregierten Ereignisse aus dem Cache entfernt und auf die Festplatte geschrieben.
    • Cache Lifetime: Bestimmt, wie lange ein Eintrag im Cache gehalten wird, bevor er auf die Festplatte geschrieben wird. Wenn dieser Wert 10 Minuten beträgt und nichts anderes dazu führt, dass der Eintrag geschrieben wird, wird jeder Eintrag, der ein Alter von 10 Minuten erreicht, auf die Festplatte geschrieben.
    • Cache Stale time: Bestimmt, wie lange ein Eintrag aufbewahrt wird, dessen Wiederholungszähler kürzlich nicht erhöht wurde. Wenn die Cache-Lebensdauer 10 Minuten und die Cache-Verfallszeit 2 Minuten beträgt, wird ein Ereigniseintrag, der 2 Minuten lang nicht erhöht wurde, gelöscht und auf die Festplatte geschrieben.
    Hinweis
    Hinweis
    Unabhängig von den obigen Einstellungen wird der Cache geleert, sobald Ereignisse an Server- und Workload Protection gesendet werden.
  4. Klicken Sie auf Save.

Nächste Schritte

Tipps zur Ereignisprotokollierung Übergeordnetes Thema

  • Auf weniger wichtigen Computern ändern Sie die Menge der gesammelten Protokolle. Dies kann in den Bereichen Ereignisse und Advanced Network Engine Options auf der Registerkarte Computer or Policy editorEinstellungenErweitert erfolgen.
  • Erwägen Sie, die Ereignisprotokollierung der Firewall-Regelaktivität zu reduzieren, indem Sie die Optionen zur Ereignisprotokollierung in der zustandsbehafteten Firewall-Konfiguration deaktivieren. (Wenn Sie beispielsweise die UDP-Protokollierung deaktivieren, werden unerwünschte UDP-Protokolleinträge eliminiert.)
  • Für Regeln zum Eindringschutz ist es am besten, nur verworfene Pakete zu protokollieren. Wenn Sie Paketänderungen protokollieren, kann dies zu zu vielen Protokolleinträgen führen.
  • Für Regeln zum Eindringschutz sollten Sie Paketdaten (eine Option im Fenster Eigenschaften der Eindringschutzregel) nur dann einbeziehen, wenn Sie das Verhalten eines bestimmten Angriffs untersuchen möchten. Paketdaten erhöhen die Protokollgrößen, daher sollten sie nicht für alles verwendet werden.