SDEE の必要性
IPS では EVENT と呼ばれるログを保持している。
イベントログには、IPS システムのステータスやインタフェースの up/down その他
signature 検知した際にはアラート呼ばれるログが EVENT ログに記録されます。
しかしながら、IPS 本体には 30Mbyte までしか保持できずに、30Mbyte を超えた場合
には古いログを新しいログで上書きしていくます。
その為、EVENT ログは signature の検知が多い環境ではログが新しいログで
上書きされ、過去のEVENT が確認できない場合がございます。
そこで、SDEE というプロトコルを使用して外部デバイスに EVENT ログをリアルタイム
でログを送信することが可能です。
SDEE では HTTPS(設定によりHTTP)で、IPS と外部デバイスがセッションを張り
その通信のなかで Event データが IPS から外部デバイスへと送信されます。
現在、弊社のアプリケーションで SDEE の使用となりますと無料の IME などが使用
しやすいと考えられます。
IPS が30Mbyte のログが一回りした際には以下のログが show tech 内に出力されます。
以下のログが頻繁に出力されている場合には、過去の EVENT ログが上書きされている
可能性が高いことを示します。
---
monitor[449] IdsEventStore/W errWarning - the event store wrapped around [IdsEventStore::writeEvent(), index = 44592]