Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=custom-journal-size

Journal degli eventi

Le dimensioni dei journal degli eventi possono essere configurate solo se si ha una licenza XDR, MDR o MDR Complete.

I journal degli eventi vengono memorizzati sui dispositivi Windows, Mac e Linux gestiti. Registrano l’attività sui dispositivi e possono essere utilizzati per l’esecuzione di query “Endpoint” con Live Discover nel Centro di analisi delle minacce. Vedere Live Discover

Non esiste un periodo fisso per la conservazione dei journal. Varia a seconda della piattaforma, del limite configurato e dell’attività sull’endpoint. Quando viene raggiunto il limite, i journal meno recenti vengono eliminati.

È possibile configurare la quantità di spazio che può essere utilizzata dai journal degli eventi sui propri dispositivi. Per farlo, procedere come segue:

  1. Cliccare sull’icona Impostazioni globali Icona Impostazioni globali..
  2. Selezionare Prodotti e servizi > Endpoint e server e cliccare su Journal degli eventi.
  3. Cliccare sulla scheda Endpoint o Server.

  4. Configura le seguenti impostazioni:

    • Dimensioni massime del journal (MB): immettere un numero compreso fra 300 e 30.000. L’impostazione predefinita è 5250.
    • Spazio massimo su disco (opzionale): selezionare un’opzione dall’elenco a discesa. Le opzioni sono le seguenti: Non specificato, 10%, 20%, 30%, 40%. Quella predefinita è Non specificato.

    Se si specificano sia le dimensioni massime dei journal che lo spazio massimo su disco, utilizzeremo il limite più basso tra i due.

    Se si seleziona Utilizza impostazioni predefinite, l’opzione Spazio massimo su disco (opzionale) comparirà in grigio e sarà disattivata.

Avviso

Queste impostazioni si applicano a tutti gli endpoint e i server, e non possono essere modificate individualmente. Riducendo le dimensioni massime dei journal o lo spazio massimo su disco, i dispositivi potrebbero rimuovere alcuni dati dei journal. Diminuendo questi valori, si limita anche la quantità di dati disponibili per eseguire query con Live Discover su tutti i dispositivi.