管理事件

 

主題上次修改日期: 2010-06-18

您可以在 Microsoft Forefront Protection 2010 for SharePoint (FPSP) 內的事件執行多項管理工作。 您可以執行下列操作:

經過一段時間,您可能會發現已經累積了大量事件,而且很難追蹤及管理這麼多事件。 為了便於作業,您可以刪除選取的事件。 如果選取許多項目,請注意,刪除程序可能需要很長的時間。

刪除選取的事件
  1. 在 Forefront Protection 2010 for SharePoint 管理主控台 中按一下 [監視],然後按一下 [伺服器安全性檢視] 底下的 [事件]

  2. [伺服器安全性檢視 - 事件] 窗格中選取一或多個項目,然後在 [動作] 區段中按一下 [刪除選取的項目]。 系統要求您確認刪除決定時,按一下 [是]。 這樣就會刪除 [伺服器安全性檢視 - 事件] 窗格中的選取項目。

您也可以選擇刪除所有事件,會比刪除選取的事件更快速。

刪除所有事件
  1. 按一下 [監視],然後按一下 [伺服器安全性檢視] 中的 [事件]

  2. 按一下 [伺服器安全性檢視 - 事件] 窗格中 [動作] 區段中的 [刪除所有事件資料]。 系統要求您確認刪除決定時,按一下 [是]。 這樣就會刪除 [伺服器安全性檢視 - 事件] 窗格中列出的所有項目。

您可以設定 FPSP,將經過一定天數的事件自動刪除。 如果啟用了清除功能,比指定天數還要舊的所有事件都會刪除。

在指定天數之後刪除事件
  1. 按一下 [監視],然後按一下 [組態] 中的 [事件]

    如果您目前是在 [伺服器安全性檢視 - 事件] 窗格上,請按一下 [動作] 區段中的 [設定事件選項]

  2. [組態 - 事件選項] 窗格中,選取 [自動清除事件] 核取方塊。 這樣會讓 [清除前保留天數] 欄位變成可用的欄位。

  3. [清除前保留天數] 欄位中,系統會指出將在幾天之後清除項目。 所有比指定天數舊的項目都會刪除。 預設為 30 天。

  4. 按一下 [儲存]。 只有在儲存之後,設定或變更清除值才會生效。

擱置清除
  • [組態 - 事件選項] 窗格中,清除 [自動清除事件] 核取方塊。 [清除前保留天數] 欄位中的值會保留,但要再度選取 [自動清除事件] 核取方塊之後才會進行刪除作業。

您可以將篩選的事件或所有事件匯出成檔案。 使用外部程式 (例如 Microsoft Office Excel) 來執行資料分析時,這項功能可能會很有用。

匯出事件清單至檔案
  1. 按一下 [監視],然後按一下 [伺服器安全性檢視] 中的 [事件]

  2. 如果您要匯出篩選的事件清單,請選取篩選準則 (如需詳細資訊,請參閱檢視事件 中的<自訂篩選檢視>)。 否則 FPSP 會匯出所有事件的清單。

  3. 按一下 [伺服器安全性檢視 - 事件] 窗格中 [動作] 區段中的 [匯出篩選的資料]

  4. [匯出篩選的資料] 對話方塊中 [輸出檔案] 欄位中,輸入或瀏覽 (按一下 [變更]) 至要匯出檔案的位置。

  5. 按一下 [匯出] 即可匯出檔案。

    您應該會收到訊息通知您系統正在進行匯出作業,接著會有訊息通知您匯出成功。

根據預設,事件資料庫有 4 GB 的「彈性限制」 (彈性限制不會阻止資料寫入資料庫,而只是傳送通知,提示系統管理員採取行動。 事件資料庫沒有固定限制,因此,您必須監視硬碟的磁碟空間,因為資料庫可能會成長到佔滿可用空間)。 建議您按照下列程序,設定適合您組織的大小限制。

設定事件資料庫大小通知
  1. 按一下 [監視],然後按一下 [組態] 中的 [事件]

    如果在 [事件] 窗格的 [動作] 中,請按一下 [設定事件選項]

  2. [組態 - 事件選項] 窗格的 [事件資料庫大小通知] 欄位中,輸入以 GB 為單位的值,然後按一下 [儲存]

設定資料庫大小通知之後,建議您設定 [資料庫大小警告] 通知 (如需詳細資訊,請參閱設定電子郵件通知),在資料庫超過其大小通知時,警告您的系統管理員。 如果因為某些原因而無法傳送通知,會將失敗記載在事件記錄中。 每天會嘗試傳送訊息一次。

如果您接到資料庫大小警告通知,可以採取一些行動,以防止再接到通知。 您可以停用 [資料庫大小警告] 通知或增加事件資料庫的大小通知 (請參閱設定事件資料庫大小警告)。 您也可以執行離線壓縮來縮減資料庫的大小,讓資料庫不再接近或超過設定的大小限制。

注意事項注意:
FPSP 會壓縮事件資料庫,以便能更有效率地讀取及寫入資料庫。 這種資料庫的線上壓縮會在每天上午 2 點 (02:00) 自動執行一次。 壓縮作業進行時,服務並不會中斷。 但是,以這種方式壓縮資料庫不會縮減磁碟上資料庫檔案的大小。
縮減磁碟上事件資料庫檔案的大小
  1. 停止所有相關的 SharePoint 和 Forefront Protection 2010 for SharePoint 服務。 通常這些服務包括 Microsoft SharePoint Foundation Timer、World Wide Web Publishing Service,以及所有使用 Microsoft SharePoint Object Model 的應用程式。

  2. 啟動命令提示,並瀏覽至事件資料夾 (位於 FPSP 資料資料夾中)。 如需作業系統上預設資料資料夾的位置,請參閱 預設資料夾

  3. 執行下列命令,以執行事件資料庫的離線磁碟重組:

    esentutl /d incident.fssdb

    注意事項注意:
    請注意,執行離線壓縮可能要花費很長的時間。
  4. 重新啟動相關的 SharePoint 服務。

您可以移動事件資料庫。 不過,為了讓 FPSP 能夠正常運作,您也必須移動所有相關資料庫和支援檔案。

注意事項注意:
您不能在不同作業系統的伺服器之間重新放置資料庫。
移動事件資料庫及所有相關檔案
  1. 如果將資料庫移到不同的伺服器上,請查看 esent.dll 的屬性,確定兩部電腦上的 Jet 引擎版本是相同的。 如果不是相同版本,移動將無法運作。

    根據預設,esnt.dll 可在下列位置找到:

    C:\WINDOWS\system32\esent.dll

  2. 在新的位置建立新的資料夾 (例如: C:\MovedDatabase)。

  3. 請執行下列步驟,以設定新資料夾的權限:

    1. 在新資料夾上按滑鼠右鍵,然後選取 [內容]

    2. 按一下 [安全性] 索引標籤,再按一下 [新增],輸入「網路服務」,然後按一下 [確定]

    3. 按一下 [網路服務],然後按一下 [允許][完全控制] 旁的方塊。

    4. 按一下 [系統管理員],然後按一下 [允許][完全控制] 旁的方塊。

    5. 按一下 [系統],再按一下 [允許][完全控制] 旁的方塊,然後按一下 [確定]

  4. 停止所有相關的 SharePoint 和 FPSP 服務。 通常這些服務包括 Microsoft SharePoint Foundation Timer、World Wide Web Publishing Service,以及所有使用 Microsoft SharePoint Object Model 的應用程式。

  5. 確定事件資料庫是在「正常關機」狀態,方法是在資料目錄 (資料目錄的位置,請參閱 預設資料夾) 中的 Incidents 目錄中,從命令提示字元執行下列命令:

    esentutl -mh incident.fssdb

    尋找輸出中的狀態 項目。 如果該項目指出「正常關機」(Clean Shutdown),則可以繼續進行。 如果該項目指出「不正常關機」(Dirty Shutdown),則表示移動失敗。 在此情況下,請啟動後停止 Microsoft Forefront Protection Eventing Service 服務。 然後再次執行下列命令:

    esentutl -mh incident.fssdb
    
  6. 複製整個資料資料夾的內容 (包括子資料夾) 至步驟 2 中所建立的資料夾 (例如 C:\MovedDatabase)。 唯一不能複製的檔案是 ProgramLog.etl,因為它由事件追蹤加以鎖定,而不能移動。 如需作業系統上預設資料資料夾的位置,請參閱預設資料夾

  7. 在新位置中,從 Incidents 資料夾刪除 Incident.fssdb 以外的所有項目。

  8. 依序按一下 [開始][執行]、輸入 regedit,然後按一下 [確定]

  9. 登錄編輯程式中,展開下列登錄子機碼:

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Forefront Server Security\SharePoint

  10. DatabasePath 登錄機碼的路徑變更為指向新資料的資料夾位置。

  11. 編輯 FSCConfigurationServer.exe.config 檔 (位於程式資料夾中)。 變更 DatabasePath 中的值,以與新資料資料夾的位置相對應。

  12. 重新啟動相關的 SharePoint 服務。

 
顯示: