ECC-Warteschlange für Discovery

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Die ECC-Warteschlange (External Communication Channel) ist ein Verbindungspunkt zwischen einer Instanz und anderen integrierten Systemen – in den meisten Fällen MID Server.

    Inhalte der ECC-Warteschlange

    Die ECC-Warteschlange enthält Datensätze, die während aller Phasen der Erkennung erstellt werden. Jeder Datensatz ist im Wesentlichen eine Nachricht von der Instanz und einem anderen System, die als Ausgabe klassifiziert ist, oder eine Nachricht von einem aus Sicht der Instanz externen System, die als Eingabe klassifiziert ist. ECC-Warteschlangendatensätze stellen einen zusammenhängenden Flow der Aktivitäten von Probes und Sensoren sowie die tatsächliche XML-Nutzlast bereit, die an eine oder von einer Instanz gesendet wird.

    Datensätze der ECC-Warteschlange automatisch löschen

    Wenn Discovery in einer Instanz ausgeführt wird, kann die Größe dieser Tabelle mehrere Gigabyte betragen. Die meisten der erfassten Daten sind unnötig, einige Einträge können jedoch für die Behebung von Problemen mit Discovery wichtig sein. Beispiel: Wenn Discovery die Laufwerke auf einem bestimmten Windows-Server nicht ordnungsgemäß erfasst, suchen Sie in der ECC-Warteschlange nach den Daten, die von der Probe „Windows - System Information“ zurückgegeben werden. Sie sollten ECC-Warteschlangendaten von Discovery mindestens einen Monat lang aufbewahren.

    Standardmäßig werden Datensätze in der ECC-Warteschlange automatisch gelöscht, die älter als 7 Tage sind. Sie können den Löschzeitplan festlegen, indem Sie den Tabellenrotationsplan für die ECC-Warteschlange aktualisieren. Die Namen für die Tabellenrotation lauten wie folgt:
    • ecc_queue_event
    • ecc_queue

    Auf ECC-Warteschlange zugreifen

    Sie können über einen der folgenden Pfade auf die ECC-Warteschlange zugreifen:
    • Discovery > Ausgabe und Artefakte > ECC-Warteschlange
    • ECC > Warteschlange

    Die folgende Abbildung enthält ein Beispiel für einen Datensatz in der ECC-Warteschlange. Dieser Datensatz zeigt, dass eine WMI-Klassifizierer-Probe zur Ausführung angewiesen und verarbeitet wurde. Eine Beschreibung der einzelnen Felder finden Sie unter Die MID Server-ECC-Warteschlange.

    Abbildung : 1. Beispiel für Datensatz einer ECC-Warteschlange
    Eine Beispiel-ECC-Warteschlange

    Statusangaben der ECC-Warteschlange

    Eingabe- und Ausgabenachrichten werden nacheinander weiter verarbeitet, bis die Erkennung abgeschlossen oder beendet wird. Sie können die ECC-Warteschlange überwachen, um zu sehen, wie Datensätze während der Erkennung gefüllt werden, und um den Status der einzelnen Datensatzänderungen anzuzeigen. Eingabedatensätze der ECC-Warteschlange werden von Business Rules (BR) verarbeitet. Nicht alle Business Rules, die ECC-Warteschlangeneingaben verarbeiten, setzen Eingaben auf „Verarbeitet“. Daher kann davon ausgegangen werden, dass einige ECC-Warteschlangeneingaben im Status „Bereit“ verbleiben. Der Prozess läuft wie folgt ab:
    1. Wenn neue Probe-Anweisungen für einen MID Server verfügbar sind, erstellt das System einen Datensatz vom Typ Ausgabe mit dem Status Bereit.
    2. Der MID Server startet dann die Verarbeitung der Probe-Anweisungen, und der Status wird in In Verarbeitung geändert, bevor er schließlich auf Verarbeitet gesetzt wird.
    3. Wenn ein Ergebnis an den MID Server zurückgegeben wird und zum Senden an die Instanz bereit ist, erstellt das System einen Datensatz vom Typ Eingabe mit dem Status Bereit.
    4. Während das System die Nutzlast verarbeitet, wird der Status in In Verarbeitung geändert, bevor er schließlich auf Verarbeitet gesetzt wird.

      Wenn Fehler auftreten, wird der Status in Fehler geändert. Sie können die Fehler in fehlgeschlagenen Erkennungen beheben.

    Debug-Verarbeitung von ECC-Warteschlangendatensätzen

    Um einen Skript-Debugger verwenden zu können, verarbeiten Sie die Nutzlast in derselben Sitzung wie der Debugger. Überprüfen Sie die Geschäftsregel, die den jeweiligen ECC-Warteschlangendatensatz verarbeitet, und den tatsächlichen Code, der die Nutzlast verarbeitet.

    Eigenschaften und Parameter, die sich auf die ECC-Warteschlange auswirken

    Mit den folgenden Eigenschaften lassen sich Aspekte der ECC-Warteschlange steuern:
    Eigenschaft Beschreibung
    Anhänge der ECC-Warteschlange speichern Das normale Verhalten von Erkennungssensoren besteht darin, Anhänge an ECC-Warteschlangeneinträgen nach erfolgreicher Sensorbearbeitung zu löschen. Durch Aktivierung dieser Eigenschaft wird dieses Verhalten außer Kraft gesetzt, Anhänge werden beibehalten. Dies ist normalerweise nur für Debugging-Zwecke nützlich.

    Speicherort: Navigieren Sie zu Discovery-Definition > Eigenschaften , um die Eigenschaft zu aktivieren.