Opcje konfiguracji protokołu SDEE
Źródło dziennika można skonfigurować w taki sposób, aby używało protokołu SDEE (Security Device Event Exchange). Produkt QRadar® używa protokołu do gromadzenia zdarzeń z urządzeń, które używają serwerów SDEE.
Protokół SDEE jest protokołem wychodzącym/aktywnym.
| Parametr | Opis |
|---|---|
| Konfiguracja protokołu | SDEE |
| Identyfikator źródła dziennika | Wpisz unikalną nazwę źródła dziennika. Identyfikator źródła dziennika może być dowolną poprawną wartością i nie musi odwoływać się do konkretnego serwera. Może to być także ta sama wartość, co nazwa źródła dziennika. Jeśli istnieje więcej niż jedno skonfigurowane źródło dziennika SDEE, upewnij się, że nadajesz każdemu unikalną nazwę. |
| Adres URL | Adres URL protokołu HTTP lub HTTPS, który jest wymagany do uzyskania dostępu do źródła dziennika, na przykład https://www.example.com/cgi-bin/sdee-server. W przypadku SDEE/CIDEE (Cisco IDS v5.x i nowszego) adres URL musi kończyć się /cgi-bin/sdee-server. Administratorzy z produktem RDEP (Cisco IDS v4.x), adres URL musi kończyć się /cgi-bin/event-server. |
| Wymuszenie subskrypcji | Gdy pole wyboru jest zaznaczone, protokół zmusza serwer do usunięcia co najmniej aktywnego połączenia i zaakceptowania nowego połączenia subskrypcji SDEE dla źródła dziennika. |
| Maksymalny Czas Oczekiwania Na Blok Dla Zdarzeń | Gdy żądanie zbierania danych jest wykonywane i nie są dostępne żadne nowe zdarzenia, protokół włącza blok zdarzeń. Blok uniemożliwia zgłoszenie innego żądania zdarzenia do urządzenia zdalnego, które nie miało żadnych nowych zdarzeń. Ten limit czasu jest przeznaczony do oszczędzania zasobów systemowych. |