[KB8422] Optimoi ESET Inspect On-Prem -ohjelmasi

HUOM:

Tämä sivu on käännetty tietokoneella. Klikkaa englantia tämän sivun Kielet-kohdassa näyttääksesi alkuperäisen tekstin. Jos jokin on epäselvää, ota yhteyttä paikalliseen tukeen.

 

Kysymys

  • ESET Inspect On-Prem -ohjelman suorituskyvyn optimointi

Ratkaisu

  1. Määritä ESET Inspect On-Prem -laitteistovaatimukset
  2. Asenna ESET Inspect On-Prem -laitteisto
  3. Optimoi ESET Inspect On-Premin suorituskyky

I. Määritä ESET Inspect On-Prem -laitteistovaatimukset

ESET Inspect On-Prem -laitteistovaatimukset

ESET Inspect On-Prem -laitteistovaatimukset riippuvat niiden päätelaitteiden tuottamien tapahtumien määrästä, joihin ESET Inspect Connector on asennettu. Nämä tapahtumat kerätään ja lähetetään palvelimelle, mukaan lukien tiedostojärjestelmän tapahtumat (kuten tiedostojen lukeminen ja kirjoittaminen), TCP-tapahtumat, rekisteritapahtumat, HTTP-tapahtumat, DNS-tapahtumat ja muut.

Voit määrittää tapahtumien keskimääräisen määrän päivässä joko ennen ESET Inspect Serverin asentamista tai sen asentamisen jälkeen. Suosittelemme määrän määrittämistä ennen ESET Inspect Serverin asentamista.

  1. Määritä tapahtumien keskimääräinen määrä päivässä päätelaitteissa.

    Ennen ESET Inspect Serverin asentamista

    1. Asenna ESET Inspect Connector vähintään kolmeen päätelaitteeseen (ESET Inspect Connector on käytettävissä ilman ESET Inspect Serveriä).

    2. Aktivoi moduuli voimassa olevalla ESET Inspect On-Prem -tilauksella. Aktivointi suoritetaan luomalla Moduulin aktivointitehtävä ESET PROTECT On-Prem -ohjelmassa.

    3. Odota vähintään yksi päivä.

    4. Tarkista tapahtumien keskimääräinen määrä päivässä kussakin päätelaitteessa: siirry kansioon, johon ESET Inspect Connector on asennettu (oletussijainti on C:\Program Files\ESETET\Inspect Connector), suorita EIConnector.exe --stats-komento ja tarkista tulosteesta Average Events Per Day (Keskimääräiset tapahtumat per päivä ) -mittari.

    Kun ESET Inspect Server on asennettu

    Siirry Dashboard Events load -välilehdelle ja tarkista Tapahtumat käsiteltyjä ja tallennettuja tapahtumia tietokonetta kohti -kaaviosta korkeimmat arvot vastaanotetuista tapahtumista 24 tunnin aikana.

  2. Voit laskea ESET Inspect Serverin ja MySQL:n arvioidut suorittimen, RAM-muistin ja levytilan vaatimukset samassa laitteessa käyttämällä Online Help -aiheessa olevaa laskuria.

Alla olevan taulukon arvot perustuvat oletukseen, että päätelaitteella ei synny yli 100 000 tapahtumaa päivässä ja että tietojen oletusarvoinen säilytysaika on 31 päivää. Jos tapahtumien määrä ympäristössäsi ylittää 100 000, sinun on skaalattava määrä suhteellisesti alla olevasta taulukosta.

EPS IOPS:lle

EPS (Events Per Second, tapahtumat sekunnissa) viittaa ESET Inspect On-Premin vastaanottamien tapahtumien määrään, kun taas IOPS (Input/Output Operations Per Second, syöttö/lähtöoperaatiot sekunnissa) viittaa levyn luku-/kirjoitusnopeuteen. Katso lisätietoja levytilan kulutuksen minimoimisesta, levyn IOPS:n parantamisesta tai suorittimeen ja RAM-muistiin kohdistuvien vaikutusten minimoimisesta Online Help -aiheesta.

Vähimmäisvaatimukset

MS SQL Server

MySQL

Päätepisteiden määrä

500

1000

5000

500

1000

5000

Muisti

4 GB

4 GB

12 GB

4 GB

4 GB

12 GB

Levytila

566 GB

1.24 TB

6.2 TB

566 GB

1.1 TB

5.6 TB

Levyn IOPS

1500

1500

3000

1000

2000

3000

Suoritinytimien lukumäärä

2

2

10

2

2

8

II. Asenna ESET Inspect On-Prem

  1. Varmista, että SQL-tietokanta on samalla palvelimella kuin ESET Inspect On-Prem ja että SQL-instanssi on omistettu.

  2. Lataa ja asenna ESET Inspect Server.

  3. Valitse ESET Inspect On-Prem -käyttäjätyyppi, joka hallinnoi ESET Inspect On-Prem Security Operations Centeriä (SOC), tietoturvaan keskittyviä IT-käyttäjiä tai IT-ylläpitäjiä. Lisätietoja vaihtoehtojen välisistä eroista on tässä Online-ohjeen aiheessa.

  4. Valitse sopivat tiedonkeruuvaihtoehdot.

  5. Määritä ESET Inspect On-Prem optimoimaan tietokannan koko. Jos tallennat kaikki käytettävissä olevat tiedot tiedonkeruuta varten, saattaa olla tarpeen luoda tapahtumasuodattimia suoritettaville ohjelmille, jotka lähettävät erittäin suuria määriä tapahtumia. Jos valittiin vaihtoehto tallentaa kaikki käytettävissä olevat tiedot, katso lisätietoja Online Help -aiheesta.

  6. ESET Inspect On-Prem -ohjelman ensiasennuksen jälkeen on luotava poissulkemisia hyvänlaatuisten havaintojen määrän minimoimiseksi. Tämä voidaan tehdä seuraavilla tavoilla:

    • Manually create exclusions.
    • Ota oppimistila käyttöön, jotta sääntöjen oppimistila ehdottaa poissulkemisia automaattisesti. Poissulkemiset näkyvät kysymyksissä, joita voit tarkastella. Tämä voidaan ottaa käyttöön ESET Inspect Web Consoleen ensimmäisen kirjautumisen jälkeisen aloituskehotuksen aikana tai valitsemalla Lisää Asetukset Sääntöjen oppimistila.
    • Ota käyttöön valmiit poissulkemiset.

III. ESET Inspect On-Prem -ohjelman suorituskyvyn optimointi

Jotta saat parhaan mahdollisen hyödyn irti ESET Inspectistä, suosittelemme seuraavien päivitysten suorittamista ESET Inspectin optimoimiseksi ennen sen täysipainoista käyttöä. Siitä on kaksi etua: se lisää yleistä suorituskykyä ja helpottaa ESET Inspectin käyttöä havaintojen hallinnassa ja niihin reagoimisessa uhkien vähentämiseksi.

Päivitä Kuvaus
Järjestelmävaatimukset

Varmista, että ESET Inspect Server -palvelimesi on vaatimusten mukainen ja täyttää (tai ylittää) ohjelmisto- ja laitteistovaatimukset.

Erillinen kone, jossa on runsaasti tallennustilaa tietokantajärjestelmän käyttämistä varten, voi parantaa suorituskykyä entisestään. Tämä ei ole pakollista; voit käyttää ESET Inspectiä yhden palvelimen ympäristössä.
MySQL Jos sinulla on mahdollisuus, valitse MySQL ESET Inspect -tietokannan käyttämiseen. Se on tällä hetkellä suorituskykyisempi kuin Microsoft SQL Server, kun ESET Inspect -tietokantaa käytetään.
Säikeiden määrä

Tämä koskee vain, kun ESET Inspect -tietokanta suoritetaan eri palvelimella kuin ESET Inspect -palvelin. Jos ESET Inspect Server ja ESET Inspect Database toimivat samalla koneella, tämä määritetään automaattisesti; voit ohittaa tämän vaiheen.

Aseta ytimien määrä suorituskyvyn lisäämiseksi, jolloin ESET Inspect Server -palvelimesta tulee tehokkaampi.

Napsauta Lisää AsetuksetTietokannan suorituskyky (käytettävissä vain paikallisessa versiossa) ja määritä tietokantaan kirjoittavien säikeiden määrä tämän kaavan mukaisesti:

1.5x ESET Inspect -tietokantaa käyttävän palvelimesi fyysisten ytimien määrä
Suorituskyvyn tarkistus

Suosittelemme, että varmistat, että järjestelmäsi on kunnossa, kykenevä ja suorituskykyinen.

Koska ESET Inspect käsittelee suurta tietomäärää, saatat kohdata suorituskykyongelmia. Yleensä tietokanta voi olla pullonkaula. Tällaiset suorituskykyongelmat johtuvat yleensä alimitoitetuista laitteistomäärityksistä, erityisesti riittämättömästä levytilasta.

Suorituskykyä voi kuitenkin haitata myös se, että ESET Inspect kerää liikaa tapahtumia.

Terve palvelin käsittelee suuren määrän tapahtumia sekunnissa, mutta sen tapahtumapakettijonon pituus on pieni. Suorita #@#publication_url id='3798' language=''' content='performance check' target='_blank'#@# palvelimellesi suorituskyvyn tarkistus nähdäksesi, miten se toimii.
Minimoi tapahtumien määrä

Tietokonekohtaisesti käsitellyillä ja tallennetuilla tapahtumilla (24 tunnin kuluessa tallennuksesta tai vastaanotosta) on suurin vaikutus suorituskykyyn.

Tapahtuma on prosessin suorittama toiminto, kuten tiedoston kirjoittaminen, DNS-haun suorittaminen tai uuden rekisterimerkinnän luominen. Kaikki nämä ovat yksittäisiä tapahtumia, jotka luetellaan Raw Events -näkymässä.

Keskimääräinen työasema tuottaa noin 100 000 tallennettua tapahtumaa 24 tunnin aikana (ympäristöstä riippuen). Tavoitteenasi on vähentää tallennettujen tapahtumien määrää.

ESET Inspect ehdottaa joitakin tapahtumasuodattimia (automaattisia poissulkemisia). Tarkastele poissulkemisia napsauttamalla Ilmoitukset ja hyväksy tai hylkää ne. Voit myös mukauttaa tai luoda poissulkemisia manuaalisesti optimoidaksesi suorituskykyä entisestään Tapahtumasuodattimissa.

Valitse AsetuksetTiedonkeruu valitsemalla, minkä tyyppisiä tietoja päätelaitteiden tietokoneista kerätään. Käytettävissä vain paikallisessa versiossa.
Tapahtumien lataaminen

ESET Inspect kerää tapahtumatiedot, mukaan lukien poikkeamat tai poikkeamat.

Tunnista poikkeamat, esimerkiksi tunnetut suoritettavat tapahtumat, joita pidetään turvallisina mutta jotka tuottavat liikaa tapahtumia.

Voit vähentää tapahtumien määrää luomalla suoritettavalle tiedostolle suodattimen:

  1. Valitse DashboardEvents loadEvents per executable. Napsauta korkeinta tuotettujen tapahtumien saraketta nähdäksesi, mitkä suoritettavat tiedostot tuottavat liikaa tapahtumia.

  2. Napsauta suoritettavan tiedoston nimeä nähdäksesi sen tiedot. Jos pidät tätä tapahtumaa turvallisena, luo tapahtumasuodatin.

  3. Napsauta oikeassa alareunassa olevaa Filter events (Suodata tapahtumat), noudata ohjattua toimintoa ja määritä tälle suoritettavalle ohjelmalle Criteria (Perusteet ) ja Event types (Tapahtumatyypit ). Valitse tapahtumatyypit, jotka aiheuttavat eniten tapahtumia. Jos tarvitset lisäkriteerejä, voit luoda perusteellisen suodattimen Advanced editorin avulla. Katso viitteeksi ESET Inspect -sääntöjen opas.

Jatka tätä prosessia, kunnes olet käsitellyt suurimman osan poikkeavista tapahtumista. Noudata menettelyä myös muiden Tapahtumat-kuorman taulukoiden osalta.

Tällä optimoinnilla voi olla merkittävä vaikutus suorituskyvyn lisäämiseen.
Tapahtumien taajuuden muuttaminen

Jos tapahtumia on edelleen liikaa, voit päättää pienentää tapahtumien lähetysväliä luomalla uuden käytännön ESET PROTECT On-Prem -ohjelmassa:

Napsauta Policies (Käytännöt ) → Add (Lisää ) → Settings (Asetukset ) ja valitse ESET Inspect Connector. Määritä kohdassa Interval of sending events to the server (Tapahtumien lähettämisväli palvelimelle) haluamasi aika ja taajuus, jolla tapahtumia lähetetään.
Väärät positiiviset havainnot

Poista vääriä positiivisia havaintoja tietokannan purkamiseksi ja tulevien tietojen ylikuormituksen estämiseksi. Luo väärien positiivisten havaintojen sääntöpoissulkemisia varten.

  • Ota käyttöön ESET Inspectin ehdottamat tapahtumasuodattimet (automaattiset poissulkemiset), tarkista poissulkemiset napsauttamalla Kysymyksiä ja hyväksy tai hylkää ne. Voit myös mukauttaa tai luoda poissulkemisia manuaalisesti optimoidaksesi suorituskykyä entisestään Tapahtumasuodattimissa.
  • Harkitse uudelleen valitun ESET Inspect -käyttäjätyypin valintaa. Jos et aio analysoida jatkuvasti suurta määrää havaintoja päivittäin (jos kyseessä on Security Operations Center -käyttäjätyyppi), valitse toinen ESET Inspect -käyttäjätyyppi, kuten tietoturvaan keskittynyt IT-ryhmä tai jopa IT-ylläpitäjä. Näin voit käsitellä vähemmän havaintoja.
  • Ota sääntöjen oppimistila käyttöön Asetuksissa (jos se ei ole käytössä).
  • Käytä Mark as safe (Merkitse turvalliseksi) -toimintoa suoritettaville tiedostoille, joita ei pidetä riskialttiina. Turvalliseksi merkitseminen voi estää joidenkin sääntöjen laukeamisen ja väärien positiivisten hälytysten tuottamisen.
  • Poista käytöstä säännöt, jotka eivät sovi ympäristöön. Jos esimerkiksi käytät etäyhteyttä VNC:llä, poista VNC-yhteys sisäiseltä IP-alueelta [D0523a] -sääntö käytöstä.
  • Muokkaa oletussääntöjä vastaamaan verkkoasi. Muokkaa esimerkiksi VNC-yhteys sisäiseltä IP-alueelta [D0523a] -sääntöä siten, että se hyväksyy yhteydet vain määritetyistä IP-osoitteista, -alueista tai -porteista, jotta sääntö aktivoituu vain silloin, kun epäilyttävä yhteys syntyy.
  • Tarkista, että LiveGrid®-yhteys toimii. Monet säännöt perustuvat LiveGrid®-tietoihin toimiakseen oikein. Jos LiveGrid®:n kanssa on ongelmia, näet varoituksen kohdassa Questions (Kysymykset ) sekä DashboardServer Status( DashboardPalvelimen tila).
  • Ole varovainen käyttäessäsi Microsoft Signer Name -nimeä poissulkemisia luodessasi. Microsoftin suoritettavat tiedostot allekirjoitetaan joskus eri tavalla Microsoft Windowsin eri versioissa.
Vinkkejä
  • Pidä ESET Inspect Connectors ja ESET Inspect Server ajan tasalla. Epäsopivat ESET Inspect Connector- ja ESET Inspect Server -versiot voivat aiheuttaa arvaamatonta käyttäytymistä. Uusin ESET Inspect Server -versio sisältää yleensä useita korjauksia ja parannuksia.
  • Jos käytät asiakastyöasemien käyttöönotossa "kultaista master"-kuvaa, jossa on esiasennettu ESET Inspect Connector, varmista, että teet tarvittavat toimenpiteet. Muuten kaikki kuvasta luodut kloonit käyttävät samaa tietokantasäiettä, mikä aiheuttaa erittäin huonon suorituskyvyn. Ongelmien välttämiseksi käytä samoja menetelmiä, joita sovelletaan ESET Management Agentiin.
  • Pidä silmällä levytilaa. Jos ESET Inspect -tietokantapalvelimen levytila laskee alle 10 prosentin, tietokannan puhdistus lakkaa toimimasta, jolloin levytilaa kuluu entistä enemmän. Tämä koskee vain ESET Inspect On-Prem -versiota.
  • Harkitse Database Retention settings (käytettävissä vain on-premises-versiossa).
  • Pidä käyttöjärjestelmän kieli mielessä, kun luot poissulkemisia. "NT AUTHORITY\NETWORK SERVICE" englanninkielisessä Windows-asennuksessa on espanjaksi "NT AUTHORITY\Servicio de Red". Tämä voi vaihdella myös Microsoft Windows -versioiden välillä. Käytä tässä tapauksessa "TriggeringUserSid" eikä "TriggeringUserName".
  • Pidä ESET Inspect Rules -oppaan kopio käsillä.
  • Nopeuta taulukkonäkymän lataamista (esimerkiksi Detections-kohdassa), käytä hammasratas-kuvaketta taulukkoasetusten muuttamiseen ja tarpeettomien sarakkeiden ja suodattimien poistamiseen.
Edellinen päivitys: 16.3.2026

Lisäresurssit

Käyttöoppaat

ESET-foorumi

Youtube-videot
ESET Status Portal ESET Technical Support

Olemassa oleva asiakas?