高级事件源设置

多域环境

如果您的环境中有多个域,请谨慎地设置您的域默认域因此,收集器知道属性数据的位置。

RAPID7加密证书

使用TCP通过Syslog发送事件源数据时,您还可以选择加密该数据。配置事件源时,在收集方法下选择TCP,然后选择“下载证书”按钮。认证称为Rapid7CA.PEM,并将在日志转发期间允许InsightIdr和事件源“相互信任”。

Rapid7建议在与您作为事件源连接到InsightIDR的供应商或应用程序相同的机器上导入证书文件。请使用您的管理工具或供应商,以便您的机器能够吸收证书。

证书内容

证书文件包含两个密钥:用于您的组织的公钥,以及用于创建组织密钥的Rapid7密钥。

不活动超时阈值

此设置仅适用于DHCP和VPN事件源。不活动超时阈值设置允许您在几分钟内指定事件源在进入错误状态之前的活动源在不活动状态。

活动故障转移合作伙伴

当两台DHCP服务器配置为主备关系时,可以指定主伙伴。

未经过滤的日志

了解如何未经过滤的日志影响您的事件源。