MQ 协议配置选项
要从消息队列 (MQ) 服务接收消息,请配置日志源以使用 MQ 协议。 协议名称在 IBM QRadar 中显示为 MQ JMS。
支持 IBM MQ 。
MQ 协议是可监视多个消息队列的出站/活动协议,每个日志源最多可监视 50 个消息队列。
下表描述了 MQ 协议的特定于协议的参数:
| 参数 | 描述 |
|---|---|
| 协议名称 | MQ JMS |
| 日志源标识 | 输入日志源的唯一名称。 日志源标识 可以是任何有效值,并且不需要引用特定服务器。 它也可以是与 日志源名称相同的值。 如果配置了多个 MQ 日志源,请确保为每个日志源提供唯一的名称。 |
| IP 桌主机名 | 主队列管理器的 IP 地址或主机名。 |
| 端口 | 用于与主队列管理器通信的缺省端口为 1414。 |
| 备用 IP 或主机名 | 备用队列管理器的 IP 地址或主机名。 |
| 备用端口 | 用于与备用队列管理器通信的端口。 |
| 队列管理器 | 队列管理器的名称。 |
| 通道 | 队列管理器通过其发送消息的通道。 缺省通道为 SYSTEM.DEF.SVRCONN。 |
| 队列 | 要监视的队列或队列列表。 使用逗号分隔列表指定队列列表。 |
| 用户名 | 用于向 MQ 服务进行认证的用户名。 |
| Password | 可选: 用于向 MQ 服务进行认证的密码。 |
| 入局消息编码 | 入局消息所使用的字符编码。 |
| 处理计算字段 | 可选: 仅当检索到的消息包含 COBOL 副本中定义的计算数据时,才选择此选项。 根据在指定副本文件中找到的字段定义来处理消息中的二进制数据。 |
| CopyBook 文件名 | 选择 处理计算字段 时,将显示此参数。 用于处理数据的副本文件的名称。 CopyBook 文件必须放在 /store/ec/mqjms/*中。 |
| 事件格式化程序 | 选择要对通过处理包含计算字段的数据生成的任何事件应用的事件格式化。 缺省情况下,将使用 无格式设置 。 |
| 包含 JMS 消息头 | 选择此选项以在包含 JMS 消息字段 (例如 JMSMessageID 和 JMSTimestamp) 的每个生成的事件中包含头。 |
| EPS 调速 | 每秒 QRadar 摄入的最大事件数。 如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。 |