Live Query を作成して実行する場合、結果を改善するために考慮すべきいくつかの概念があります。
Live Query のサポートの詳細については、「VMware Carbon Black Cloud™ 監査と修正の運用環境要件」を確認してください。
以下のクエリの考慮事項のリストは、次のように確立されています。
- システムが過負荷にならないように保護する (最大メモリ使用量とタイムアウト)。
- ネットワークが過負荷にならないように保護する (1 MB の上限)。
[Live Query の考慮事項:]
- クエリの最大メモリ使用量は 500MB に制限されます。クエリのメモリ使用量が 500MB を超えると、クエリは終了します。
- 結果のクエリ ペイロードは、最大サイズが 1MB に制限されます。1MB を超えるクエリ結果は警告なしで切り捨てられます。
- ユーザー インターフェイスは、結果を 10,000 に制限します。すべての結果を表示するには、[Export (エクスポート)] ボタンを使用するか、Live Query AP を使用します。https://developer.carbonblack.com/reference/carbon-black-cloud/cb-liveops/latest/livequery-api/
- 900 秒以上かかるクエリは終了します。
これらの制限を考慮して、クエリは幅広い項目を対象としていないことに注意してください。例:
SELECT * FROM windows_eventlog WHERE channel = 'Security'
細かく焦点を絞ったクエリは、クエリの制限の 1 つに達する可能性が低くなります。
