Modificar regras de arquivamento para observáveis

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Modifique as regras de arquivamento para observáveis e exiba também uma estimativa do número de registros afetados pela regra.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    As regras de arquivamento de amostra estão inativas por padrão.

    A opção Histórico significativo e a condição devem ser sempre definidas como Falso para observáveis, indicadores, registros relacionados e objetos. Ao definir esta opção como falsa, você pode arquivar os registros, mas se esta opção estiver definida como verdadeira, isso significa que você não pode arquivar os registros, independentemente da definição das regras.

    Procedimento

    1. Navegar até Todos > Arquivamento do Sistema > Regras de Arquivamento.
      A lista de regras de arquivamento aplicáveis ao TISC é exibida. Essas regras de arquivamento são diferentes para cada tipo de objeto e são aplicáveis independentemente.
      Regras de arquivamento
    2. Selecione qualquer regra de arquivamento.
      Por exemplo, selecione Registro observável do diretório para ver a regra de arquivamento do sistema de base.
    3. Clique em Adicionar condição de filtro.
    4. Selecione a opção Histórico significativo e defina a condição como Falso.
      Ao definir esta opção como falsa, você pode arquivar os registros, mas se esta opção estiver definida como verdadeira, isso significa que você não pode arquivar os registros, independentemente da definição das regras.
    5. Neste exemplo, defina o Status do observável como Inativo e o Tempo de expiração como 2 anos.
      Isso significa que o registro do observável pode ser arquivado quando o status é inativo e o período de expiração desse observável está definido como 2 anos e, portanto, qualquer coisa antes desse período a partir da data atual será arquivada.
      Nota:
      Cada regra de arquivamento é acionada a cada hora, portanto, qualquer mudança na regra é modificada a partir da hora do trabalho agendado. Caso você queira executar o trabalho explicitamente e não queira esperar até que o trabalho seja programado, modifique-o adequadamente. Siga as etapas abaixo.
    6. Navegar até Links relacionados > Recalcular estimativa.

      A estimativa do registro foi recalculada e atualizada com o valor estimado.

      Nota:
      Se o valor da estimativa de registro for 0, os registros não serão arquivados, mas se o valor da estimativa de registro for 1, a aplicação identificará esse valor e esse registro será arquivado.
    7. Selecione Executar arquivo agora.
    8. Vá para a seção Execução de arquivamento abaixo para verificar o processo de execução de arquivamento.
      Nota:
      Você notará que o número total de registros arquivados é apenas um registro, já que o valor de estimativa de registro também é um.
    9. Navegar até Biblioteca de informações sobre ameaças > Observáveis.
    10. Pesquise o registro arquivado.
      O registro deve ter sido arquivado e não exibirá os resultados quando você pesquisar o registro.
      Nota:
      • Como parte das regras de arquivamento do TISC, toda a origem e seus registros relacionados que estão listados como parte dos registros relacionados arquivados também serão arquivados junto com o registro do observável agregado. Você pode fazer o detalhamento ativo da seção de log de arquivamento para ver a lista de registros arquivados que foram executados automaticamente em segundo plano e exibidos nesta seção.
      • Caso você queira exibir o registro arquivado, pesquise o registro nessa tabela relacionada. Simultaneamente, você também pode verificar o registro arquivado navegando até Arquivamento do Sistema > Log de Arquivamento. Exibe o número de registros arquivados.