Opzioni di configurazione del protocollo RabbitMQ
Per ricevere messaggi da un Cisco AMP DSM, configurare un'origine log per utilizzare il protocollo RabbitMQ .
Il protocollo RabbitMQ è un protocollo in uscita attivo.
La seguente tabella descrive i parametri specifici del protocollo per il protocollo RabbitMQ :
| Parametro | Descrizione |
|---|---|
| Nome protocollo | RabbitMQ |
| Identificativo origine log | Digitare un nome univoco per l'origine log. Il Identificativo di origine log può essere qualsiasi valore valido e non ha bisogno di fare riferimento a un server specifico. Può anche essere lo stesso valore del Nome origine log. Se hai più di un'origine log RabbitMQ configurata, assicurati di assegnare a ciascuno un nome univoco. |
| Formato evento | Il formato evento racconta il protocollo che tipo di eventi aspettarsi. I prodotti ufficialmente supportati hanno opzioni specifiche a loro disposizione. Per i prodotti non supportati è possibile utilizzare Nessuna Formattazione o JSON. |
| IP o nome host | L'indirizzo IP o il nome host del gestore della coda principale. |
| Porta | La porta fornita dal servizio AMQP quando viene creata o visualizzata una coda. |
| Coda | La coda o l'elenco delle code da monitorare. Viene specificato un elenco di code con un elenco separato da virgola. |
| Nome utente | Il nome utente utilizzato per l'autenticazione con il servizio RabbitMQ . |
| Password | La password utilizzata per autenticarsi con il servizio RabbitMQ . |
| EPS Throttle | Il numero massimo di eventi al secondo che QRadar ingerisce. Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS. Il valore predefinito è 5000. |
| Consenti certificati non attendibili | Abilitare questa opzione quando l'endpoint utilizza un certificato che non può essere verificato tramite la catena di certificati. Ciò include un certificato autofirmato o uno da una CA privata che non si desidera importare nel trust della CA. Questa opzione non dovrebbe essere utilizzata per gli endpoint con un certificato emesso da una CA pubblica (prodottiSaaS , infrastruttura cloud pubblica e così via). Il certificato deve essere scaricato in formato binario con codifica PEM o DER e quindi collocato nella directory /opt/qradar/conf/trusted_certificates/ con estensione file .cert o .crt . |