[KB8422] Optymalizacja ESET Inspect On-Premier

NOTATKA:

Ta strona została przetłumaczona przez komputer. Kliknij przycisk Angielski w sekcji Języki na tej stronie, aby wyświetlić oryginalny tekst. Jeśli coś jest niejasne, skontaktuj się z lokalnym działem pomocy technicznej.

Wydanie

  • Optymalizacja wydajności ESET Inspect On-Prem

Rozwiązanie

  1. Określ wymagania sprzętowe ESET Inspect On-Prem
  2. Zainstaluj ESET Inspect On-Prem
  3. Optymalizacja wydajności ESET Inspect On-Premise

I. Określenie wymagań sprzętowych programu ESET Inspect On-Premise

Wymagania sprzętowe ESET Inspect On-Prem

Wymagania sprzętowe ESET Inspect On-Prem zależą od liczby zdarzeń generowanych przez urządzenia końcowe, na których zainstalowany jest ESET Inspect Connector. Zdarzenia te są zbierane i wysyłane do serwera, w tym zdarzenia systemu plików (takie jak odczyt i zapis plików), zdarzenia TCP, zdarzenia rejestru, zdarzenia HTTP, zdarzenia DNS i inne.

Średnią dzienną liczbę zdarzeń można określić przed zainstalowaniem programu ESET Inspect Server lub po jego zainstalowaniu. Zalecamy określenie tej liczby przed zainstalowaniem programu ESET Inspect Server.

  1. Określ średnią liczbę zdarzeń dziennie na urządzeniach końcowych.

    Przed zainstalowaniem programu ESET Inspect Server

    1. Zainstaluj moduł ESET Inspect Connector na co najmniej trzech punktach końcowych (moduł ESET Inspect Connector działa bez serwera ESET Inspect Server).

    2. Aktywuj moduł za pomocą ważnej subskrypcji ESET Inspect On-Prem. Aktywacja odbywa się poprzez utworzenie zadania Aktywacja modułu w programie ESET PROTECT On-Prem.

    3. Odczekaj co najmniej jeden dzień.

    4. Sprawdź średnią liczbę zdarzeń dziennie na każdym urządzeniu końcowym: przejdź do folderu, w którym zainstalowano program ESET Inspect Connector (domyślna lokalizacja to C:\Program Files\ESET\Inspect Connector), uruchom polecenie EIConnector.exe --stats i w danych wyjściowych sprawdź metrykę Średnia liczba zdarzeń dziennie.

    Po zainstalowaniu ESET Inspect Server

    Przejdź do pulpitu nawigacyjnego → zakładka Ładowanie zdarzeń i na wykresie Zdarzenia przetworzone i zapisane na komputer sprawdź najwyższe wartości zdarzeń otrzymanych w ciągu 24 godzin.

  2. Aby obliczyć szacunkowe wymagania dotyczące procesora, pamięci RAM i miejsca na dysku dla ESET Inspect Server i MySQL na tym samym urządzeniu, użyj kalkulatora w temacie Pomoc online.

Wartości w poniższej tabeli opierają się na założeniu, że punkt końcowy nie ma więcej niż 100 000 zdarzeń generowanych dziennie, a domyślny okres przechowywania danych wynosi 31 dni. Jeśli liczba zdarzeń w środowisku przekracza 100 000, należy proporcjonalnie przeskalować liczbę z poniższej tabeli.

EPS dla IOPS

EPS (Events Per Second) odnosi się do szybkości zdarzeń odbieranych przez ESET Inspect On-Prem, podczas gdy IOPS (Input/Output Operations Per Second) odnosi się do szybkości odczytu/zapisu dysku. Więcej informacji na temat minimalizacji zużycia miejsca na dysku, poprawy IOPS na dysku lub minimalizacji wpływu na procesor i pamięć RAM można znaleźć w naszym temacie pomocy online.

Minimalne wymagania

MS SQL Server

MySQL

Liczba punktów końcowych

500

1000

5000

500

1000

5000

Pamięć

4 GB

4 GB

12 GB

4 GB

4 GB

12 GB

Miejsce na dysku

566 GB

1.24 TB

6.2 TB

566 GB

1.1 TB

5.6 TB

Liczba operacji wejścia/wyjścia na sekundę na dysku

1500

1500

3000

1000

2000

3000

Liczba rdzeni CPU

2

2

10

2

2

8

II. Instalacja ESET Inspect On-Prem

  1. Upewnij się, że baza danych SQL znajduje się na tym samym serwerze co ESET Inspect On-Prem, a instancja SQL jest dedykowana.

  2. Pobierz i zainstaluj program ESET Inspect Server.

  3. Wybierz typ użytkowników ESET Inspect On-Prem zarządzających ESET Inspect On-Prem Security Operations Center (SOC), Security-focused IT lub IT Administrators. Więcej informacji na temat różnic między opcjami można znaleźć w tym temacie Pomocy online.

  4. Wybierz odpowiednie opcje gromadzenia danych.

  5. Skonfiguruj program ESET Inspect On-Prem, aby zoptymalizować rozmiar bazy danych. W przypadku przechowywania wszystkich dostępnych danych do gromadzenia danych może być konieczne utworzenie filtrów zdarzeń dla plików wykonywalnych, które wysyłają bardzo duże ilości zdarzeń. Jeśli wybrano opcję przechowywania wszystkich dostępnych danych, zobacz temat Pomocy online, aby uzyskać więcej informacji.

  6. Po początkowej instalacji programu ESET Inspect On-Prem konieczne będzie utworzenie wykluczeń w celu zminimalizowania liczby wykryć zagrożeń. Można to osiągnąć w następujący sposób:

    • Ręczne tworzenie wykluczeń.
    • Włącz tryb nauki, aby tryb nauki reguł automatycznie sugerował wykluczenia. Wykluczenia pojawią się w pytaniach do przejrzenia. Można to włączyć podczas początkowego monitu po pierwszym zalogowaniu się do ESET Inspect Web Console lub przechodząc do Więcej Ustawienia Tryb nauki reguł.
    • Włącz predefiniowane wykluczenia.

III. Optymalizacja wydajności ESET Inspect On-Prem

Aby jak najlepiej wykorzystać ESET Inspect, zalecamy wykonanie następujących aktualizacji w celu optymalizacji ESET Inspect przed rozpoczęciem korzystania z niego w pełni. Daje to dwie korzyści: zwiększa ogólną wydajność i ułatwia korzystanie z ESET Inspect podczas zarządzania wykryciami i reagowania na nie w celu łagodzenia zagrożeń.

Aktualizacja Opis
Wymagania systemowe

Upewnij się, że serwer ESET Inspect jest zgodny ze specyfikacją i spełnia (lub przekracza) wymagania programowe i sprzętowe.

Posiadanie dedykowanej maszyny z wystarczającą ilością miejsca do uruchomienia systemu bazy danych może dodatkowo poprawić wydajność. Nie jest to obowiązkowe; można uruchomić ESET Inspect w środowisku z jednym serwerem.
MySQL Jeśli masz taką możliwość, wybierz MySQL do uruchomienia bazy danych ESET Inspect. Obecnie przewyższa on Microsoft SQL Server podczas uruchamiania bazy danych ESET Inspect.
Liczba wątków

Dotyczy to tylko sytuacji, gdy baza danych programu ESET Inspect jest uruchomiona na innym serwerze niż serwer programu ESET Inspect. Jeśli serwer ESET Inspect Server i baza danych ESET Inspect Database działają na tym samym komputerze, opcja ta jest konfigurowana automatycznie; można pominąć ten krok.

Ustaw liczbę rdzeni, aby zwiększyć wydajność serwera ESET Inspect Server.

Kliknij Więcej Ustawienia → Wydajność bazy danych (dostępne tylko w wersji lokalnej) i określ Liczbę wątków zapisujących do bazy danych zgodnie z poniższym wzorem:

1.5x liczba fizycznych rdzeni serwera, na którym uruchomiona jest baza danych ESET Inspect
Sprawdzanie wydajności

Zalecamy upewnienie się, że system jest sprawny, wydajny i działa dobrze.

Ponieważ ESET Inspect obsługuje dużą ilość danych, mogą wystąpić problemy z wydajnością. Ogólnie rzecz biorąc, baza danych może być wąskim gardłem. Takie problemy z wydajnością są zwykle spowodowane niewystarczającymi specyfikacjami sprzętowymi, zwłaszcza niewystarczającą ilością miejsca na dysku.

Jednak wydajność może być również ograniczona, jeśli ESET Inspect gromadzi zbyt wiele zdarzeń.

Zdrowy serwer przetwarza dużą liczbę zdarzeń na sekundę, ale ma niską długość kolejki pakietów zdarzeń. Wykonaj performance check swojego serwera, aby zobaczyć, jak sobie radzi.
Minimalizacja liczby zdarzeń

Zdarzenia przetwarzane i przechowywane na komputer (w ciągu 24 godzin od ich zapisania lub odebrania) mają największy wpływ na wydajność.

Zdarzenie to akcja wykonywana przez proces, taka jak zapis pliku, wyszukiwanie DNS lub utworzenie nowego wpisu rejestru. Wszystko to są pojedyncze zdarzenia wymienione w widoku Raw Events.

Przeciętna stacja robocza generuje około 100 000 zapisanych zdarzeń w ciągu 24 godzin (w zależności od środowiska). Celem jest zmniejszenie liczby przechowywanych zdarzeń.

Niektóre filtry zdarzeń (automatyczne wykluczenia) są proponowane przez ESET Inspect. Kliknij Powiadomienia, aby przejrzeć wykluczenia, a następnie zaakceptuj je lub odrzuć. Możesz także dostosować lub ręcznie utworzyć wykluczenia, aby jeszcze bardziej zoptymalizować wydajność w Filtrach zdarzeń.

Kliknij UstawieniaZbieranie danych, aby wybrać typ danych, które mają być zbierane z komputerów końcowych. Dostępne tylko w wersji lokalnej.
Ładowanie zdarzeń

ESET Inspect zbiera dane zdarzeń, w tym anomalie lub wartości odstające.

Zidentyfikuj wartości odstające, na przykład znane zdarzenia wykonywalne, które są uważane za bezpieczne, ale generują nadmierną liczbę wystąpień.

Aby zmniejszyć liczbę zdarzeń, utwórz filtr dla pliku wykonywalnego:

  1. Kliknij Pulpit nawigacyjnyWczytywanie zdarzeńZdarzenia na plik wykonywalny. Kliknij najwyższą kolumnę wygenerowanych zdarzeń, aby zobaczyć, które pliki wykonywalne generują zbyt wiele zdarzeń.

  2. Kliknij nazwę pliku wykonywalnego, aby wyświetlić jego szczegóły. Jeśli uważasz to zdarzenie za bezpieczne, utwórz filtr zdarzeń.

  3. Kliknij przycisk Filtruj zdarzenia w prawym dolnym rogu, postępuj zgodnie z instrukcjami kreatora i określ kryteria oraz typy zdarzeń dla tego pliku wykonywalnego. Wybierz typy zdarzeń, które powodują najwięcej zdarzeń. Jeśli potrzebujesz dodatkowych kryteriów, użyj edytora zaawansowanego, aby utworzyć szczegółowy filtr. Zapoznaj się z przewodnikiem po regułach ESET Inspect.

Kontynuuj ten proces, aż usuniesz większość zdarzeń odstających. Postępuj również zgodnie z procedurą dla innych tabel w ramach obciążenia Events.

Ta optymalizacja może mieć znaczący wpływ na zwiększenie wydajności.
Zmiana częstotliwości zdarzeń

Jeśli nadal występuje zbyt wiele zdarzeń, możesz zdecydować się na zmniejszenie interwału wysyłania zdarzeń, tworząc nową politykę w ESET PROTECT On-Prem:

Kliknij opcję ZasadyDodajUstawienia i wybierz opcję ESET Inspect Connector. W polu Interwał wysyłania zdarzeń na serwer określ żądany czas i częstotliwość wysyłania zdarzeń.
Fałszywie pozytywne wykrycia

Usuń fałszywe alarmy, aby odciążyć bazę danych i zapobiec przeciążeniu danymi w przyszłości. Utwórz wykluczenia reguł dla fałszywych alarmów.

  • Włącz filtry zdarzeń (automatyczne wykluczenia) proponowane przez ESET Inspect, kliknij opcję Pytania , aby przejrzeć wykluczenia, a następnie zaakceptuj je lub odrzuć. Można również dostosować lub ręcznie utworzyć wykluczenia w celu dalszej optymalizacji wydajności w Filtrach zdarzeń.
  • Ponownie rozważ wybrany typ użytkownika programu ESET Inspect. Jeśli nie zamierzasz stale analizować dużej liczby wykryć dziennie (w przypadku typu użytkownika Security Operations Center ), wybierz inny typ użytkownika ESET Inspect, taki jak zespół IT skoncentrowany na bezpieczeństwie lub nawet administrator IT. Umożliwi to radzenie sobie z mniejszą liczbą wykryć.
  • Włącz tryb uczenia się reguł w Ustawieniach (jeśli nie jest uruchomiony).
  • Użyj opcji Oznacz jako bezpieczne dla plików wykonywalnych uznanych za niestwarzające ryzyka. Oznaczenie jako bezpieczne może zapobiec wyzwalaniu niektórych reguł i generowaniu fałszywych alarmów.
  • Wyłącz reguły, które nie pasują do twojego środowiska. Na przykład, jeśli używasz VNC do połączenia zdalnego, wyłącz regułę Połączenie VNC z wewnętrznego zakresu IP [D0523a].
  • Zmodyfikuj domyślne reguły, aby pasowały do Twojej sieci. Na przykład edytuj regułę połączenia VNC z wewnętrznego zakresu IP [D0523a ], aby akceptować połączenia tylko na określonych adresach IP, zakresach lub portach, tak aby reguła była wyzwalana tylko w przypadku wystąpienia podejrzanego połączenia.
  • Sprawdź, czy połączenie LiveGrid® działa. Wiele reguł opiera się na informacjach LiveGrid®, aby działać poprawnie. Jeśli wystąpi problem z LiveGrid®, zobaczysz ostrzeżenie w sekcji Pytania , a także w DashboardServer Status.
  • Zachowaj ostrożność podczas korzystania z Microsoft Signer Name podczas tworzenia wykluczeń. Pliki wykonywalne Microsoft są czasami podpisywane inaczej w różnych wersjach systemu Microsoft Windows.
Wskazówki
  • Należy aktualizować ESET Inspect Connectors i ESET Inspect Server. Niedopasowane wersje ESET Inspect Connector i ESET Inspect Server mogą powodować nieprzewidywalne zachowanie. Najnowsza wersja ESET Inspect Server zazwyczaj zawiera kilka poprawek i ulepszeń.
  • Jeśli używasz obrazu "golden master" z preinstalowanym programem ESET Inspect Connector do wdrażania klienckich stacji roboczych, upewnij się, że podjąłeś niezbędne środki. W przeciwnym razie wszystkie klony utworzone z obrazu używają tego samego wątku bazy danych, co powoduje bardzo niską wydajność. Aby uniknąć problemów, należy użyć tych samych metod, które mają zastosowanie do ESET Management Agent.
  • Kontroluj ilość miejsca na dysku. Jeśli ilość miejsca na dysku serwera ESET Inspect Database spadnie poniżej 10%, czyszczenie bazy danych przestanie działać, zużywając jeszcze więcej miejsca na dysku. Dotyczy to tylko wersji ESET Inspect On-Prem.
  • Rozważ obniżenie Database Retention settings (dostępne tylko w wersji lokalnej).
  • Podczas tworzenia wykluczeń należy pamiętać o języku systemu operacyjnego. "NT AUTHORITY\NETWORK SERVICE" w angielskiej instalacji systemu Windows jest określane jako "NT AUTHORITY\Servicio de Red" w języku hiszpańskim. Może się to również różnić w zależności od wersji systemu Microsoft Windows. W takim przypadku należy użyć "TriggeringUserSid", a nie "TriggeringUserName".
  • Zachowaj kopię przewodnika ESET Inspect Rules pod ręką w celach informacyjnych.
  • Przyspiesz ładowanie widoku tabeli (na przykład w Detections), użyj ikony koła zębatego, aby zmodyfikować opcje tabeli i usunąć niepotrzebne kolumny i filtry.
Ostatnio zaktualizowany: 29 sty 2026

Dodatkowe materiały:

Dokumentacja

Forum ESET

Poradniki w formie filmów
ESET Status Portal ESET Technical Support

Obecny klient?