跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=LiveDiscoverDataLakeLimits

Data Lake 儲存限制

Sophos Data Lake 中可以儲存的資料量有限制。

對於裝置,我們按如下設定限制:

  • 一台裝置的每日限制。
  • 適用於所有裝置的 90 天限制。

對於雲端資產,我們依照 Sophos Cloud Optix 一節所述設定限制。

一台裝置的每日限制

每台裝置每天最多可上傳 2 GB 資料。

當裝置達到限制時,它會停止上傳資料,直到限制重設為止。在此期間,裝置未上傳至 Data Lake 的資料將不會在以後傳送。您只能直接在裝置上查詢該資料。

對於 Windows 裝置,限制將在當地時間午夜重設。

對於 Linux 裝置,限制在 XDR 代理程式啟動後每 24 小時重設一次。

裝置和 Sophos 之間的所有其他通訊(包括威脅警示)將照常繼續。

如果您的裝置上傳的資料比預期的還多,您可以瞭解哪些查詢產生的資料最多。然後,您可以使用此資訊來調查資料上傳數。請參閱疑難排解每日限制違規

適用於所有裝置的 90 天限制

Data Lake 最多可以儲存 90 天的資料。在此期間允許的總儲存量基於 XDR 授權數量。

端點和伺服器有單獨的儲存集區:

  • 端點集區每天每個授權可以有 20 MB 的儲存量(每 90 天每個授權 1.8 GB)。
  • 伺服器集區每天每個授權可以有 40 MB 的儲存量(每 90 天每個授權 3.6 GB)。

如果裝置超過這些限制,Data Lake 將無法提供完整的 90 天資料供查詢。

裝置限制的運作方式

假設您有下列授權。

  • 10 Intercept X Advanced with XDR
  • 10 個 Intercept X Advanced for Server with XDR

在 90 天內,您可以儲存以下資料量。

  • 最多 18 GB 的端點資料(10 個授權 x 20MB x 90 天)
  • 最多 36 GB 的伺服器資料(10 個授權 x 40MB x 90 天)

如果超過儲存限制,我們將移除最舊的資料,直到資料低於限制。

例如,如果您的端點每天上傳 40 MB(是整個月平均允許量的兩倍),則只需 45 天就會達到限制。然後我們會開始移除最舊的資料,因此您無法查詢完整的 90 天歷程記錄資料。

但是,如果您的裝置上傳的資料量低於允許的最大值,我們仍然只儲存 90 天的裝置資料。

Sophos Cloud Optix 儲存限制

您可以設定 Sophos Cloud Optix 將資料從雲端環境傳送至 Data Lake。如果這樣做,則 Sophos Cloud Optix 資料有 Data Lake 儲存限制。

來自 Sophos Cloud Optix 的資料會在 Data Lake 中儲存 90 天,或直到您達到儲存限制為止(以先到者為準)。此儲存限制取決於您已授權的雲端資產數量。

超過 90 天的期限後,您每天每個雲端資產最多可儲存 1MB。例如,如果您有 100 個雲端資產,您可以在 Data Lake 中的 Sophos Cloud Optix 儲存最多 9GB 的資料(100 個授權 x 1MB x 90 天)。如果您超過了儲存限制,我們會移除最舊的資料,直到您的資料數量低於儲存限制,且 Data Lake 無法提供整整 90 天的資料可供查詢。

您每天可從 Sophos Cloud Optix 上傳至 Data Lake 的資料量也有限制。您每日的上傳限制取決於您已授權的雲端資產數量。您每天最多可上傳 1.25MB 的雲端資產。例如,如果您有 100 個雲端資產,您每天最多可以上傳 125MB 的資料(100 個授權 x 1.25MB)。

如果您達到每日上傳限制,Sophos Cloud Optix 會停止上傳資料,直到於 00:00 世界標準時間,限制重設為止。之後,Sophos Cloud Optix 會自動從停止點繼續上傳資料。