Data Lake 儲存限制

Sophos Data Lake中可儲存的資料量和儲存時間都有限制。

Sophos Data Lake可為 XDR 客戶儲存資料長達 90 天，可為 EDR 客戶儲存資料長達 30 天。

我們對設備可儲存的資料量進行瞭如下限制：

• 一台裝置的每日限制。
• 所有設備 90 天限制 (XDR)，或所有設備 30 天限制 (EDR)。

對於雲端資產，我們依照 Sophos Cloud Optix 一節所述設定限制。

一台裝置的每日限制

每台裝置每天最多可上傳 2 GB 資料。

當裝置達到限制時，它會停止上傳資料，直到限制重設為止。在此期間，裝置未上傳至 Data Lake 的資料將不會在以後傳送。您只能直接在裝置上查詢該資料。

對於 Windows 裝置，限制將在當地時間午夜重設。

對於 Linux 裝置，限制在 XDR 代理程式啟動後每 24 小時重設一次。

裝置和 Sophos 之間的所有其他通訊（包括威脅警示）將照常繼續。

如果您的裝置上傳的資料比預期的還多，您可以瞭解哪些查詢產生的資料最多。然後，您可以使用此資訊來調查資料上傳數。請參閱疑難排解每日限制違規。

所有設備的使用期限為 90 天或 30 天。

Data Lake最多可儲存 XDR 資料 90 天，或 EDR 資料 30 天。在該時間段內允許的總儲存量取決於許可證數量。

端點和伺服器有單獨的儲存集區：

• 端點池每個許可證每天可擁有 20 MB 的空間（每個 XDR 許可證每 90 天可擁有 1.8 GB 的空間）。
• 伺服器池每個許可證每天可擁有 40 MB 的空間（每個 XDR 許可證每 90 天可擁有 3.6 GB 的空間）。

如果設備數量超過這些限制，Data Lake將無法提供整個時間段的資料供查詢。

裝置限制的運作方式

假設您擁有以下Sophos XDR 授權。

• 10 Sophos XDR - User
• 10 Sophos XDR - Server

在 90 天內，您可以儲存以下資料量。

• 最多 18 GB 的端點資料（10 個授權 x 20MB x 30 天）
• 最多 36 GB 的伺服器資料（10 個授權 x 40MB x 90 天）

如果超過儲存限制，我們將移除最舊的資料，直到資料低於限制。

例如，如果您的端點每天上傳 40 MB（是整個月平均允許量的兩倍），則只需 45 天就會達到限制。然後我們會開始移除最舊的資料，因此您無法查詢完整的 90 天歷程記錄資料。

但是，如果您的裝置上傳的資料量低於允許的最大值，我們仍然只儲存 90 天的裝置資料。

Sophos Cloud Optix 儲存限制

您可以設定 Sophos Cloud Optix 將資料從雲端環境傳送至 Data Lake。如果這樣做，則 Sophos Cloud Optix 資料有 Data Lake 儲存限制。

來自 Sophos Cloud Optix 的資料會在 Data Lake 中儲存 90 天，或直到您達到儲存限制為止（以先到者為準）。此儲存限制取決於您已授權的雲端資產數量。

超過 90 天的期限後，您每天每個雲端資產最多可儲存 1MB。例如，如果您有 100 個雲端資產，您可以在 Data Lake 中的 Sophos Cloud Optix 儲存最多 9GB 的資料（100 個授權 x 1MB x 90 天）。如果您超過了儲存限制，我們會移除最舊的資料，直到您的資料數量低於儲存限制，且 Data Lake 無法提供整整 90 天的資料可供查詢。

您每天可從 Sophos Cloud Optix 上傳至 Data Lake 的資料量也有限制。您每日的上傳限制取決於您已授權的雲端資產數量。您每天最多可上傳 1.25MB 的雲端資產。例如，如果您有 100 個雲端資產，您每天最多可以上傳 125MB 的資料（100 個授權 x 1.25MB）。

如果您達到每日上傳限制，Sophos Cloud Optix 會停止上傳資料，直到於 00:00 世界標準時間，限制重設為止。之後，Sophos Cloud Optix 會自動從停止點繼續上傳資料。