×

警告メッセージ

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

SDEE の必要性

ドキュメント

2012/04/27 - 08:57
4月 26th, 2012
User Badges:
  • Cisco Employee,

SDEE の必要性


IPS では EVENT と呼ばれるログを保持している。

イベントログには、IPS システムのステータスやインタフェースの up/down その他

signature 検知した際にはアラート呼ばれるログが EVENT ログに記録されます。

しかしながら、IPS 本体には 30Mbyte までしか保持できずに、30Mbyte を超えた場合

には古いログを新しいログで上書きしていくます。

その為、EVENT ログは signature の検知が多い環境ではログが新しいログで

上書きされ、過去のEVENT が確認できない場合がございます。

そこで、SDEE というプロトコルを使用して外部デバイスに EVENT ログをリアルタイム

でログを送信することが可能です。

SDEE では HTTPS(設定によりHTTP)で、IPS と外部デバイスがセッションを張り

その通信のなかで Event データが IPS から外部デバイスへと送信されます。

現在、弊社のアプリケーションで SDEE の使用となりますと無料の IME などが使用

しやすいと考えられます。


IPS が30Mbyte のログが一回りした際には以下のログが show tech 内に出力されます。

以下のログが頻繁に出力されている場合には、過去の EVENT ログが上書きされている

可能性が高いことを示します。

---

monitor[449] IdsEventStore/W errWarning - the event store wrapped around [IdsEventStore::writeEvent(), index = 44592]

Loading.

アクション

このドキュメントについて