檢視次數:
請參閱 事件儲存多久? 以了解系統和安全事件的儲存期限詳細資訊。
考慮控制存儲的步驟:

步驟

  1. 將安全事件轉發到外部存儲。請參閱 將事件轉發到外部 Syslog 或 SIEM 伺服器
  2. 在日誌檢查模組中設置事件存儲或事件轉發的閾值。Severity clipping 允許您將事件發送到 Syslog 伺服器(如果已啟動)或根據日誌檢查規則的嚴重性等級存儲事件。請參閱 事件存儲或事件轉發的閾值

接下來需執行的動作

限制日誌檔案大小 上層主題

您可以設定每個日誌檔案的最大大小以及保留最新檔案的數量。事件日誌檔案將會被寫入,直到達到允許的最大大小,此時將會創建一個新檔案並繼續寫入,直到它達到最大大小,如此循環。一旦達到檔案的最大數量,最舊的檔案將會被刪除,然後創建一個新檔案。事件日誌條目通常平均約為 200 位元組,因此一個 4 MB 的日誌檔案將包含約 20,000 個日誌條目。您的日誌檔案填滿的速度取決於現有規則的數量。

步驟

  1. 開啟您想要配置的Computer or Policy editor策略。
  2. 前往Settings Advanced Events
  3. 配置這些屬性:
    • Maximum size of the event log files (on Agent/Appliance): 日誌檔案在創建新日誌檔案之前可以達到的最大大小。
    • Number of event log files to retain (on Agent/Appliance): 將保留的日誌檔案的最大數量。一旦達到日誌檔案的最大數量,將在創建新檔案之前刪除最舊的檔案。
    • Do Not Record Events with Source IP of: 如果您不希望 Server & Workload Security保護 為來自某些受信任電腦的流量記錄事件,此選項很有用。
    注意
    注意
    以下三個設定可讓您微調事件聚合。為了節省磁碟空間,代理程式會將多次出現的相同事件聚合成一個條目,並附加一個「重複次數」、一個「首次出現」時間戳記和一個「最後出現」時間戳記。為了聚合事件條目,代理程式需要將條目快取在記憶體中,然後寫入磁碟。
    • Cache Size: 決定在任何給定時間追蹤多少種類型的事件。設定值為 10 表示將追蹤 10 種類型的事件(包括重複計數、首次發生時間戳和最後發生時間戳)。當發生新類型的事件時,10 個聚合事件中最舊的將從快取中清除並寫入磁碟。
    • Cache Lifetime: 決定在將記錄刷新到磁碟之前在快取中保留記錄的時間。如果此值為 10 分鐘且沒有其他原因導致記錄被刷新,則任何達到 10 分鐘的記錄都會被刷新到磁碟。
    • Cache Stale time: 決定未最近增加重複計數的記錄保留多長時間。如果快取存活時間為 10 分鐘且快取過期時間為 2 分鐘,則未在 2 分鐘內增加的事件記錄將被清除並寫入磁碟。
    注意
    注意
    無論上述設定如何,當事件發送到Server & Workload Security保護時,快取都會被清除。
  4. 點選 儲存

接下來需執行的動作

事件記錄提示 上層主題

  • 在不太重要的電腦上,修改收集的日誌數量。這可以在 EventsAdvanced Network Engine Options 區域的 Computer or Policy editor Settings Advanced 標籤頁中完成。
  • 考慮通過關閉防火牆有狀態配置中的事件記錄選項來減少防火牆規則活動的事件記錄。(例如,如果您關閉UDP記錄,將消除未請求的UDP記錄條目。)
  • 對於入侵防護規則,最佳做法是僅記錄被丟棄的封包。如果您記錄封包修改,可能會導致過多的日誌條目。
  • 對於入侵防護規則,僅在您有興趣檢查特定攻擊行為時,才在入侵防護規則的Properties視窗中包含封包資料。封包資料會增加日誌大小,因此不應用於所有情況。