伺服器與工作負載保護 允許您配置自動移除離線電腦。離線電腦是指那些有離線代理程式或最近未與 伺服器與工作負載保護 通信的電腦。伺服器與工作負載保護 每小時檢查一次離線電腦。請使用以下步驟來啟用和管理離線電腦的移除。
 |
重要當您連接雲端帳戶時,新增至 伺服器與工作負載保護 的虛擬機會在您從雲端環境中刪除它們時自動移除。欲了解有關在 Trend Vision One 中連接和管理雲端帳戶的詳細資訊,請參閱 雲端帳戶。
不活躍代理清理每小時檢查時最多移除 1000 台離線電腦。如果離線電腦超過 1000 台,則在每次後續檢查中將移除 1000 台,直到所有離線電腦都被移除。
|
啟用非活動代理清理後,您還可以
- 確保離線中的電腦可以重新連接到伺服器與工作負載保護(可選,但建議這樣做)。
- 設定覆寫以防止特定電腦被移除(可選)。
- 檢查非活動代理清理工作的結果。
 |
注意停用代理清理不會移除由雲端連接器新增的離線電腦。
|
啟用非活動代理清理 
步驟
- 前往Administration頁面。
- 在 下,選擇 Delete Agents that have been inactive for。
- 從列表中選擇電腦防護必須處於非活動狀態才能被移除的時間段。
- 確保離線中的電腦可以重新連接到伺服器與工作負載保護(可選,但建議這樣做)。
- 點選 儲存.
接下來需執行的動作
確保長時間離線的電腦仍然受到伺服器與工作負載保護的保護
如果您有離線電腦處於啟動狀態但與 伺服器與工作負載保護 不定期通信,若它們在您定義的不活動期間內未通信,不活動代理清理將會移除它們。為確保這些電腦重新連接到 伺服器與工作負載保護,我們建議啟用 Agent-Initiated Activation 和 Reactivate unknown Agents。要這麼做,請在 下,先選擇 Allow Agent-Initiated Activation,然後選擇 Reactivate Unknown Agents。
|
注意當移除的電腦防護重新連接時,將不會有政策,並將作為新電腦防護添加。任何指向該電腦防護的直接連結將從伺服器與工作負載保護事件資料中移除。
|
 |
秘訣您可以在代理啟動激活時,使用基於事件的任務自動指派指派給電腦防護的政策。
|
設定覆寫以防止特定電腦被移除
您可以在電腦防護或政策層級設置覆蓋,以明確防止電腦防護被非活動代理清理移除。
設定覆蓋
步驟
- 打開您想要設置覆蓋的電腦防護或策略的電腦防護或策略編輯器。
- 前往 。
- 在 Inactive Agent Cleanup Override 下,選擇 是。
- 點選 儲存.
接下來需執行的動作
檢查由非活動清理工作移除的電腦的審計追蹤
當不活動的代理清理作業運行時,系統事件將會生成,您可以用來追蹤被移除的電腦。
您需要檢查以下系統事件:
- 2953 - 不活動代理清理成功完成
- 251 - 電腦防護已刪除
- 716 - 未知代理嘗試重新啟動(如果重新啟動未知代理已啟動)
搜尋系統事件
要查看由非活動代理清理作業生成的系統事件,您需要創建一個篩選它們的搜索:
步驟
- 前往Events and Reports頁面。
- 在右上角,點選搜尋欄位清單並選擇Open Advanced Search。
- 對於Period,從列表中選擇Custom Range。
- 對於 From,請輸入非活動代理清理作業首次運行之前的日期和時間。對於 To,請輸入清理作業完成之後的日期和時間。
- 對於Search,選擇Event ID和In,然後輸入2953, 251。您可以選擇性地輸入716以及與電腦防護重新啟動相關的任何事件 ID (130, 790, 350, 250)。
接下來需執行的動作
這將顯示由非活動代理清理作業生成的所有系統事件。您可以通過點選相應的列按時間、事件 ID 或事件名稱對事件進行排序。然後,您可以雙擊事件以獲取有關它的詳細資訊,如下所述。
系統事件詳細資料
2953 - 已成功完成非活動代理清理
當非活動代理清理作業運行並成功移除電腦時,會生成此事件。此事件的描述將告訴您移除了多少台電腦。
|
注意如果需要多次檢查才能移除所有電腦,則每次檢查都會生成一個單獨的系統事件。
|
251 - 電腦防護已刪除
除了已成功完成非活動代理清理事件外,還會為每個被移除的電腦防護生成一個單獨的電腦防護已刪除事件。
716 - 未知代理嘗試重新啟動
如果重新啟動未知代理已啟動,當已啟動的電腦防護在嘗試重新連接到伺服器與工作負載保護時,將會生成此事件。每個重新啟動的電腦防護還會生成以下系統事件:
- 130 - 憑證已生成
- 790 - 已請求代理啟動激活
- 350 - 已建立原則(如果您已啟動分配原則的事件型任務)
- 250 - 電腦防護已建立或 252 - 電腦防護已更新