SDEE 协议配置选项
您可以配置日志源以使用安全设备事件交换 (SDEE) 协议。 QRadar 使用协议从使用 SDEE 服务器的设备收集事件。
SDEE 协议是出站/活动协议。
下表描述了 SDEE 协议的特定于协议的参数:
| 参数 | 描述 |
|---|---|
| 协议配置 | SDEE |
| 日志源标识 | 输入日志源的唯一名称。 日志源标识 可以是任何有效值,并且不需要引用特定服务器。 它也可以是与 日志源名称相同的值。 如果您有多个已配置的 SDEE 日志源,请确保为每个日志源提供唯一的名称。 |
| URL | 访问日志源所需的 HTTP 或 HTTPS URL ,例如 https://www.example.com/cgi-bin/sdee-server 。 对于SDEE/CIDEE(Cisco IDS v5.x 及更高版本), URL 必须以 /cgi-bin/sdee-server 结尾。 使用RDEP(Cisco IDS v4.x )的管理员, URL 必须以 /cgi-bin/event-server 结尾。 |
| 强制预订 | 选中此复选框时,协议将强制服务器删除最不活动的连接,并接受日志源的新 SDEE 预订连接。 |
| 针对事件阻止的最大等待时间 | 当发出集合请求并且没有新事件可用时,协议将启用事件块。 该块阻止向没有任何新事件的远程设备发出另一个事件请求。 此超时旨在节省系统资源。 |