Перейти к содержанию

Работа отчётов

SnakeEyes

От SnakeEyes
в Помощь по корпоративным продуктам

 Share

Рекомендуемые сообщения

SnakeEyes Постоялец

SnakeEyes

Опубликовано
Опубликовано

Хотел бы получить подробную информацию о настройке хранений любых отчётов в KSC и веб версии. Где что включить, выключить, чтобы много так места не тратило.

Ссылка на комментарий
Поделиться на другие сайты
ElvinE5 Опытный

ElvinE5

Опубликовано
Опубликовано (изменено)

Отчеты не хранятся, хранятся события в базе данных из которых они строятся. Время хранения каждого события задается в соответствующих политиках для всех продуктом с сервера, по умолчанию это время задано как 30, 90 и 180 дней.

Спойлер

1730353684_.thumb.png.f128df181dc4db2cfb8e66a18a1bcd88.png

 

общее количество событий в БД по умолчанию задано 400 000, не рекомендуется менять без необходимости и без рекомендаций со стороны ЛК

Спойлер

782027110_.thumb.png.c2bed310694d189f1f3a00f22d5f8073.png

 

посмотреть текущие количество можно в свойствах базы

Спойлер

1955052268_.thumb.png.1ad175ee05f565856269b95b8788619c.png

 

 

если ваша база "распухает" - пересмотрите свой подход к сбору и срокам хранения данных получаемых с клиентов.

Изменено пользователем ElvinE5
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
ElvinE5 Опытный

ElvinE5

Опубликовано
Опубликовано (изменено)

ну тогда все что угодно, например это работа самой Windows ...

 

больше всего в KSC это например.

1. Базы

2. Обновления Windows или для сторонних

3. включили и забыли выключить трасситровку

4. не ограничили хранилище для вредоносов и у вас заражение которое создает резервные копии, сжирая все место

 

так ... теперь по порядку ... можно почистить

1. тут

Спойлер

973316621_.thumb.png.841e33b916576890440f871671ca4b71.png

2. тут же

Спойлер

1205344286_.thumb.png.aa3afe7f51ec534b32417ed54f895403.png

 

3. наверно посмотрите справку где что хранится и как включить/отключить - https://support.kaspersky.ru/common/diagnostics/12797?ysclid=le2obvpl3j511891641#block3

4. в политиках для продуктов ...

KES

Спойлер

1228386093_.thumb.png.00f171401ac9f2d6be070b24dfa944b8.png

KSWS - в двух закладках проверьте

Спойлер

1635363359_.thumb.png.a812f2530e864ad89eb8c929a0f801eb.png

и зачистите все что есть в хранилище ...

Спойлер

1754580899_.thumb.png.d3da32d495947f0e8b36053e3a9bd8c6.png

 

 

ну и банально "взвесьте" все папки найдите виновника.

Изменено пользователем ElvinE5
Ссылка на комментарий
Поделиться на другие сайты
SnakeEyes Постоялец

SnakeEyes

Опубликовано
  • Автор
Опубликовано

Полная очистка по вашей инструкции освободила 100мб)

 

На сервере администрирования в пути C:\\Users\AllUsers\KasperskyLab\AdminKit были обнаружены 2 интересные мне тяжёлые папки. Что в них хранится?


image.png.198be782d9657084eb31fd32b5213ab1.png

Ссылка на комментарий
Поделиться на другие сайты
ElvinE5 Опытный

ElvinE5

Опубликовано
Опубликовано (изменено)
13 минут назад, SnakeEyes сказал:

На сервере администрирования в пути C:\\Users\AllUsers\KasperskyLab\AdminKit были обнаружены 2 интересные мне тяжёлые папки. Что в них хранится?

не поверите ... все (с)

это служебные каталоги, в качестве примера, обновления WSUS - https://support.kaspersky.ru/ksc11/settings/server/15304?ysclid=le2q3l4h6z379513678

 

или например вот это - https://support.kaspersky.com/KSC/14/ru-RU/92465.htm

Изменено пользователем ElvinE5
Ссылка на комментарий
Поделиться на другие сайты
SnakeEyes Постоялец

SnakeEyes

Опубликовано
  • Автор
Опубликовано
12 минут назад, ElvinE5 сказал:

не поверите ... все (с)

это служебные каталоги, в качестве примера, обновления WSUS - https://support.kaspersky.ru/ksc11/settings/server/15304?ysclid=le2q3l4h6z379513678

 

или например вот это - https://support.kaspersky.com/KSC/14/ru-RU/92465.htm

Хорошо, тогда остаётся вопрос к этим файлам. Они находятся в папке mysql8
image.png.754a0b824378e08d57a1d9cc78e69d6b.png

Ссылка на комментарий
Поделиться на другие сайты
ElvinE5 Опытный

ElvinE5

Опубликовано
Опубликовано (изменено)

 

Вот с этим наверное не помогу ....

можно обратится в компани аккаунт - https://companyaccount.kaspersky.com/account/login

собрать все необходимые логи и отправить ...но если это действительно из за продукта ...

в справке есть оптимизация настроек для MySQL, не знаю насколько это может помочь в вашем случаи  - https://support.kaspersky.com/help/KSC/14/ru-RU/220593.htm

так же можно выполнить процедуру сжатия БД, но у вас она вроде не такая большая ... включите этот параметр при следующем выполнении задачи "Обслуживание сервера администрирования".

Спойлер

1085925621_.thumb.png.f17d36d10764197742c61ad4afa1b0e0.png

рекомендуется делать раз в месяц.

 

 

на всякий случай покажите вот эту информацию ... как на моем скрине

Спойлер

936863666_.thumb.png.965808f37278389fb9de4d7864b0f74e.png

 

Изменено пользователем ElvinE5
Ссылка на комментарий
Поделиться на другие сайты
SnakeEyes Постоялец

SnakeEyes

Опубликовано
  • Автор
Опубликовано
3 часа назад, ElvinE5 сказал:

 

Вот с этим наверное не помогу ....

можно обратится в компани аккаунт - https://companyaccount.kaspersky.com/account/login

собрать все необходимые логи и отправить ...но если это действительно из за продукта ...

в справке есть оптимизация настроек для MySQL, не знаю насколько это может помочь в вашем случаи  - https://support.kaspersky.com/help/KSC/14/ru-RU/220593.htm

так же можно выполнить процедуру сжатия БД, но у вас она вроде не такая большая ... включите этот параметр при следующем выполнении задачи "Обслуживание сервера администрирования".

  Показать контент

1085925621_.thumb.png.f17d36d10764197742c61ad4afa1b0e0.png

рекомендуется делать раз в месяц.

 

Оптимизация настроек вообще ни к чему не помогает в этой ситуации, она выполнялась ещё со старта установки моими предшественниками. Сжатие баз не помогло. Мне кажется что это бэкапы базы, но хочется знать точно.

 

image.thumb.png.82775f02b704ed3d3bdb8d57a9e67a2f.png

 

Ссылка на комментарий
Поделиться на другие сайты
SnakeEyes Постоялец

SnakeEyes

Опубликовано
  • Автор
Опубликовано

Рылся я в файлах и в настройках консоли и обнаружил что самый ранний такой странный файл идёт от 17.01, они все имеют максимальный размер в 1ГБ.
Здесь были указано хранение отчётов сроком в 30 дней, позавчера изменил на 7 дней. Однако самый старый файл от 17.01 не пропал, а новые продолжают писаться.
image.thumb.png.4ae39d0fbbfc7502f624ba9dadcda9dc.png

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Elly
      Вопросы к администрации по работе форума
      От Elly
      Вопросы по работе форума следует писать сюда. Вопросы по модерированию, согласно правилам, сюда писать не следует.
      Ответ можно получить только на вопрос, который грамотно сформулирован и не нарушает правил\устава форума.
    • Anix
      log работы ELPACO-team
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • Mrak
      Приём работ на конкурс осенней фотографии 2024
      От Mrak
      В этой теме осуществляется приём конкурсных работ на конкурс осенней фотографии 2024 года.
      Правила конкурса размещены ТУТ.
    • Sandynist
      Напомните, куда правильно пожаловаться на некорректную работу сайтов Лаборатории?
      От Sandynist
      Добрый вечер! Давно хотел написать о проблеме, но всё руки не доходили. 
       
      Немного истории: с большими усилиями компании удалось выкупить региональный домен https://www.kaspersky.kz/
      Можете погуглить, история мутная, какой-то предприимчивый делец зарегистрировал это имя себе и запросил много бабла с компании. 
       
      Но вот теперь казалось бы всё должно наладится, и сайт должен заработать корректно, но ничего подобного.
      Если у нас попытаться открыть ссылку в виде:
      https://www.kaspersky.ru/about/press-releases/zhertvami-novoj-versii-troyanca-necro-mogli-stat-milliony-vladelcev-android-ustrojstv
      то происходит автоматический редирект на наш региональный домен:
      https://www.kaspersky.kz/about/press-releases/zhertvami-novoj-versii-troyanca-necro-mogli-stat-milliony-vladelcev-android-ustrojstv
      на котором никакой статьи не наблюдается. 
       

       
      Так всё это не работает уже более года, а может даже и двух. Хотел традиционно задать этот вопрос Евгению Валентиновичу, но он заметно нервничает, когда его начинают спрашивать по технической части. А я в свою очередь не знаю куда и кому адресовать жалобу, это же не антивирусный продукт.
      Написал письмо на адрес info@kaspersky.com , но очень сомневаюсь, что будет хоть какой-то результат.
       
      P.S. Раньше тут появлялись технические специалисты компании, которым напрямую можно было написать про такие проблемы, как сейчас с этим обстоят дела?
    • KL FC Bot
      Эффективное внедрение ИИ для оптимизации работы аналитиков SOC
      От KL FC Bot
      Хотя искусственный интеллект можно применять в ИБ-сфере разными способами, от детектирования угроз до упрощения написания отчетов об инцидентах, наиболее эффективными будут применения, которые значительно снижают нагрузку на человека и при этом не требуют постоянных крупных вложений в поддержание актуальности и работоспособности моделей машинного обучения.
      В предыдущей статье мы разобрались, как сложно и трудоемко поддерживать баланс между надежным детектированием киберугроз и низким уровнем ложноположительных срабатываний ИИ-моделей. Поэтому на вопрос из заголовка ответить очень легко — ИИ не может заменить экспертов, но способен снять с них часть нагрузки при обработке «простых» случаев. Причем, по мере обучения модели, номенклатура «простых» случаев будет со временем расти. Для реальной экономии времени ИБ-специалистов надо найти участки работ, на которых изменения происходят более медленно, чем в «лобовом» детектировании киберугроз. Многообещающим кандидатом на автоматизацию является обработка подозрительных событий (триаж).
      Воронка детектирования
      Чтобы иметь достаточно данных для обнаружения сложных угроз, современная организация в рамках своего SOC вынуждена ежедневно собирать миллионы событий с сенсоров в сети и на подключенных устройствах. После группировки и первичной фильтрации алгоритмами SIEM эти события дистиллируются в тысячи предупреждений о потенциально вредоносной активности. Изучать предупреждения обычно приходится уже людям, но реальные угрозы стоят далеко не за каждым таким сообщением. По данным сервиса Kaspersky MDR за 2023 год, инфраструктура клиентов генерировала миллиарды событий ежедневно, при этом за весь год из них было выделено 431 512 предупреждений о потенциально вредоносной активности. Но лишь 32 294 предупреждения оказались связаны с настоящими инцидентами ИБ. То есть машины эффективно просеяли сотни миллиардов событий и лишь ничтожный процент из них отдали на просмотр людям, но от 30 до 70% этого объема сразу помечаются аналитиками как ложные срабатывания, и около 13% после более глубокого расследования оказываются подтвержденными инцидентами.
       
      View the full article
×
×
  • Создать...