日志和事件存储最佳做法

不适用于趋势科技服务器深度安全防护系统即服务

日志和事件数据存储的最佳做法取决于您必须满足的数据合规性法规(例如,PCI 和 HIPAA)。同样,您需要考虑优化数据库利用效率。存储过多数据可能会影响数据库性能和大小要求。

存储过多数据时,数据库可能会出现以下症状:错误消息指示系统可能遇到数据库不活动的问题或无法导入软件更新,或者仅指示趋势科技服务器深度安全防护系统的总体工作性能。

  1. 根据合规性标准的要求设置系统事件存储。

  2. 针对系统事件和模块事件将转发到 syslog 服务器还是 SIEM 进行设置,请参阅将事件转发到外部 Syslog 或 SIEM 服务器。这允许您根据需要在存储选项卡上缩短保留时间。

  3. 在日志审查模块中为事件存储或事件转发设置阈值。此设置在趋势科技服务器深度安全防护系统文档中称为“严重性修剪”,可让您将事件发送到 syslog 服务器(如果已启用)或根据日志审查规则的严重性级别存储事件。请参阅事件存储或事件转发阈值

趋势科技服务器深度安全防护系统管理中心为几乎所有事件提供七天的缺省数据保留期设置,但系统事件除外,系统事件的数据保留期设置为“从不”。

下表显示了存储缺省值。要查看并更新这些缺省值,请转至管理 > 系统设置 > 存储

数据类型 数据清除缺省设置
防恶意软件事件 7 天
Web 信誉事件 7 天
防火墙事件 7 天
入侵防御事件 7 天
完整性监控事件 7 天
日志审查事件 7 天
应用程序控制事件 7 天
系统事件 从不
服务器日志 7 天
计数器 13 周
软件版本 ** 5 个版本
旧版规则更新 ** 10 个规则更新

**注意:要删除软件版本或旧版规则更新,请转至管理 > 更新 > 软件 > 本地或管理 > 更新 > 安全 > 规则