RabbitMQ 协议配置选项
要从 Cisco AMP DSM 接收消息,请配置日志源以使用 RabbitMQ 协议。
RabbitMQ 协议是活动的出站协议。
重要信息: 如果需要 "服务器名称指示" (SNI) ,那么 Cisco AMP 集成不支持私有云。 请联系 Cisco 以获取更多详细信息。
下表描述了 RabbitMQ 协议的特定于协议的参数:
| 参数 | 描述 |
|---|---|
| 协议名称 | RabbitMQ |
| 日志源标识 | 请输入日志源的唯一名称。 日志源标识 可以是任何有效值,并且不需要引用特定的服务器。 它还可以是与 日志源名称相同的值。 如果配置了多个 RabbitMQ 日志源,请确保为每个日志源提供唯一名称。 |
| 事件格式 | "事件格式" 告知协议要期望的事件类型。 官方支持的产品具有可用的特定选项。 对于不受支持的产品,可以使用 无格式设置 或 JSON。 |
| IP 桌主机名 | 主队列管理器的 IP 地址或主机名。 |
| 端口 | 在创建或查看队列时由 AMQP 服务提供的端口。 |
| 队列 | 要监视的队列或队列列表。 使用逗号分隔的列表指定队列列表。 |
| 用户名 | 用于向 RabbitMQ 服务认证的用户名。 |
| Password | 用于向 RabbitMQ 服务认证的密码。 |
| EPS 调速 | 每秒 QRadar 摄入的最大事件数。 如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。 缺省值 5000。 |
| 允许不可信证书 | 当端点使用无法通过证书链验证的证书时,请启用此选项。 这将包括自签名证书或来自您不希望导入到 CA 信任中的专用 CA 的证书。 此选项不应用于具有公共 CA (SaaS 产品,公共云基础结构等) 颁发的证书的端点。 该证书必须以 PEM 或 DER 编码的二进制格式下载,然后放置在 /opt/qradar/conf/trusted_certificates/ 目录中,并具有 .cert 或 .crt 文件扩展名。 |