File d'attente ECC pour la détection

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • La file d'attente ECC (External Communication Channel) est un point de connexion entre une instance et d'autres systèmes qui s'intègrent à elle, le plus souvent un MID Server.

    Contenu de la file d'attente ECC

    La file d'attente ECC contient des enregistrements créés à toutes les étapes de la détection. Chaque enregistrement est principalement un message envoyé de l'instance à un autre système, classé en tant que sortie, ou un message envoyé du système externe à l'instance, classé en tant qu'entrée. Les enregistrements de la file d'attente ECC vous fournissent un flux connecté d'activités de sonde et de capteur, ainsi que la charge utile XML réelle envoyée à une instance ou à partir de cette dernière.

    Supprimer automatiquement des enregistrements de la file d'attente ECC

    Si Découverte est en cours d'exécution sur une instance, la taille de cette table peut atteindre plusieurs gigaoctets. Toutes les données accumulées ne sont pas nécessaires, mais certaines entrées peuvent être importantes pour résoudre les problèmes liés à Découverte. Par exemple, si Découverte ne capture pas correctement les lecteurs de disque sur un serveur Windows particulier, recherchez dans la file d'attente ECC les données renvoyées par la sonde Windows - Informations sur le système. Vous devez conserver les données de la file d'attente ECC de Découverte pendant au moins un mois.

    Par défaut, les enregistrements de la file d'attente ECC de plus de 7 jours sont supprimés automatiquement. Vous pouvez définir le calendrier de suppression en mettant à jour le calendrier de rotation de table pour la file d'attente ECC. Les noms de rotation de table sont les suivants :
    • ecc_queue_event
    • ecc_queue

    Accéder à la file d'attente ECC

    Vous pouvez accéder à la file d'attente ECC à partir de l'un ou l'autre de ces emplacements :
    • Découverte > Résultats et artefacts > File d'attente ECC
    • ECC > File d'attente

    L'image suivante est un exemple d'enregistrement dans la file d'attente ECC. Cet enregistrement montre qu'une sonde de classifieur WMI a été chargée de s'exécuter et a été traitée. Reportez-vous à la section File d’attente ECC du serveur MID pour obtenir une description de chaque champ.

    Figure 1. Exemple d'enregistrement de file d'attente ECC
    Exemple de file d’attente ECC

    États de la file d'attente ECC

    Le traitement des messages d'entrée et de sortie se poursuit jusqu'à ce que la détection soit terminée. Vous pouvez surveiller la file d'attente ECC pour vérifier le remplissage des enregistrements lors de la détection et afficher les états de chaque changement d'enregistrement. Les enregistrements d’entrée de file d’attente ECC sont traités par des règles métier (BR). Les règles métier traitant les entrées de file d’attente ECC ne définissent pas toutes les entrées comme traitées. Par conséquent, on peut s’attendre à ce que certaines entrées de file d’attente ECC restent à l’état prêt. Le processus est le suivant :
    1. Lorsque de nouvelles instructions de sonde sont disponibles pour le MID Server, le système crée un enregistrement de sortie dont l'état est défini sur prêt.
    2. Le MID Server commence à traiter les instructions de sonde, puis l'enregistrement passe à l'état en cours de traitement, puis à l'état traité.
    3. Lorsqu'un résultat est renvoyé au MID Server et est prêt à être envoyé à l'instance, le système crée un enregistrement d'entrée dont l'état est défini sur prêt.
    4. Pendant que le système traite la charge utile, l'enregistrement passe à l'état traitement en cours, puis à l'état traité.

      En cas d'erreur, l'état est défini sur erreur. Vous pouvez rechercher des erreurs pour résoudre les échecs de détection.

    Traitement de débogage des enregistrements de file d’attente ECC

    Pour pouvoir utiliser un débogueur de script, traitez la charge utile sur la même session que le débogueur. Passez en revue la règle métier qui traite l’enregistrement de file d’attente ECC particulier et le code réel qui traite la charge utile.

    Propriétés et paramètres ayant une incidence sur la file d'attente ECC

    Les propriétés suivantes sont disponibles pour contrôler les aspects de la file d'attente ECC :
    Propriété Description
    Enregistrer les pièces jointes de file d'attente ECC Le comportement normal des capteurs de détection consiste à supprimer les pièces jointes dans les entrées de file d'attente ECC à l'issue du traitement réussi des capteurs. L'activation de cette propriété remplace ce comportement et force la conservation des pièces jointes. Cette propriété n'est généralement utile qu'à des fins de débogage.

    Emplacement : accédez à Définition de découverte > Propriétés pour activer la propriété.