Cómo funciona el análisis incremental para
Endpoint Discover

En el análisis incremental, el agente DLP recuerda la fecha, la hora y la ubicación del archivo del último análisis de archivo. Esta información se llama punto de comprobación. El agente DLP guarda el punto de comprobación en su base de datos local. Por lo tanto, puede usar este punto de comprobación para continuar el análisis desde donde se detuvo la última vez.
Los análisis incrementales se completan en las fases siguientes:
  • Fase 1: El Agente DLP analiza los archivos que no se han podido analizar en la ejecución anterior del mismo destino de
    Endpoint Discover
    .
  • Fase 2: El agente DLP analiza solamente los archivos que se añaden o se modifican desde el último punto de comprobación.
Los ejemplos siguientes resumen la secuencia del análisis incremental para dos endpoints.
  • Cuando el análisis anterior no se completa en el endpoint 1 y se completa en el endpoint 2. El análisis incremental se ejecuta en dos fases:
    Para el endpoint 1:
    • Fase 1: Completa el último análisis incompleto.
    • Fase 2: Analiza solamente los archivos que se añaden o se modifican desde el último punto de comprobación.
    Para el endpoint 2:
    • La fase 1 no se aplica, ya que el análisis anterior se completó.
    • La fase 2 se aplica y el análisis incremental se ejecuta solamente en los archivos que se añaden o se modifican desde el último punto de comprobación.
El ejemplo anterior se resume en la tabla siguiente:
Análisis incremental ejecutándose en dos fases
Fases
El análisis anterior no se completa en el Endpoint 1
El análisis anterior se completa en el Endpoint 2
Fase 1
Aplicable
No aplicable
Fase 2
Aplicable
Aplicable
  • Considere otro ejemplo, donde un nuevo análisis de destino de
    Endpoint Discover
    se ejecuta por primera vez con la opción de análisis incremental, después, en este caso, solamente la fase 2 es aplicable. El análisis incremental analiza todos los archivos que se añaden o se modifican desde el 1 de enero de 1970 (tiempo Epoch).
Nota: Symantec recomienda que ejecute un análisis completo en vez de un análisis incremental en los casos siguientes:
  • Ejecutó un análisis de destino de
    Endpoint Discover
    y luego modificó la ruta del filtro para incluir un archivo que no era parte del análisis de destino de
    Endpoint Discover
    anterior. Si este archivo no fue modificado desde el último punto de comprobación, entonces este archivo no se analiza si ejecuta un análisis incremental.
  • Para macOS, la marca de tiempo de un archivo (la marca de tiempo en que el archivo fue creado o modificado o en que se accedió a él) no cambia si se copia el archivo de una ubicación a otra. Si un análisis completo de
    Endpoint Discover
    se ejecuta y, posteriormente, algunos archivos se trasladan localmente a la ruta de carpeta de destino de
    Endpoint Discover
    , pero los archivos fueron modificados por última vez antes de la hora del análisis completo, entonces el análisis incremental siguiente no analiza estos archivos. Puesto que la marca de fecha de los archivos precede a la hora del análisis completo, aunque los archivos fueron añadidos a la carpeta de destino después del análisis, no se reconocen como archivos que se considerarán para un análisis incremental.
  • Desea hacer una clasificación de línea base de todo el contenido para brindar visibilidad al tipo de información en la unidad.