Problema: O servidor do Sentinel desliga ao executar uma pesquisa quando há um número grande de eventos indexado em uma única partição.
Solução temporária: Crie políticas de retenção de forma que haja pelo menos duas partições abertas em um dia. Ter mais de uma partição aberta ajuda a reduzir o número de eventos indexados nas partições.
Você pode criar políticas de retenção que filtrem eventos com base no campo estzhour, que controla a hora do dia. Dessa forma, é possível criar uma política de retenção com estzhour:[0 TO 11] como o filtro e outra política de retenção com estzhour:[12 TO 23] como o filtro.
Para obter mais informações, consulte Configuring Data Retention Policies (Configurando políticas de retenção de dados)
no Sentinel Administration Guide (Guia de Administração do NetIQ Sentinel).