存储

数据清除

这些设置定义在从数据库中清除事件记录和计数器、较早的安全更新以及其他存储对象之前对其存储的时间。

对于事件设置，应该根据目前使用的数据库系统的稳健性、可用的存储空间量以及确定要记录的事件来决定。

下面是有关事件日志记录的一些提示：

• 对于不感兴趣的计算机，请修改日志收集的数量。可以在策略/计算机编辑器 > 设置 > 网络引擎选项卡的事件和高级网络引擎设置区域中完成此操作。
• 考虑禁用防火墙状态配置中的事件日志记录选项，从而减少防火墙规则活动的事件日志记录。（例如，禁用 UPD 日志记录便可排除未经请求的 UDP 日志条目）
• 对于入侵防御规则，最佳的做法是只记录丢弃的数据包。日志记录数据包修改可能会产生大量日志条目。
• 对于入侵防御规则，当您想要调查攻击来源时，只包含数据包数据即可（入侵防御规则属性窗口中的一个选项）。否则，保留数据包数据会大幅增加日志大小。