简介
本文档介绍SecureX磁贴中的缓存如何工作。
信息是否包含在SecureX Live数据中?
该问题的答案是否定的。这是因为,在SecureX中,每个集成和每个磁贴都经过特定的缓存。
过期时间因集成和磁贴本身而异。
例如,您可以使用安全终端(CSE)和SecureX集成。
首先,验证集成是否有效且有效,然后导航至 Integration Modules > My Integration Modules
.
搜索您的安全终端模块,确认它已集成且未显示错误。
集成检查
然后,在CSE控制台中触发隔离事件。
控制台事件
导航回SecureX,检查与“隔离区”对应的磁贴,您会发现没有数据。
SecureX无数据
如图所示,自CSE控制台中发生该事件以来至少已经过了2分钟。
查询时间
要更好地了解为什么控制面板中不会显示任何数据,请导航到Quarantines Tile,然后单击 ellipsis (...) > Information.
SecureX隔离
此信息显示为SecureX中的此特定磁贴硬编码的Valid_time值。
导航到data并展开名为valid_time的部分。
API信息
无论查询时间如何,start_time和end_time之间的差值始终为5分钟。
请注意,如前所述,此start_time和end_time差异取决于集成和磁贴本身。
至少经过5分钟后,导航回到SecureX,现在您可以看到事件。
隔离事件
后缓存时间
信息会自行刷新,但是,如果您需要更多信息,可以在故障排除会话期间捕获HTTP存档格式(HAR)日志。
注意:建议使用Persistent Har日志,它们的权重更大,但在重新定向后仍然有效,页面将会刷新。
如果收集HAR日志并打开它们,则可以查看事件发生时的有效时间并将检测时间关联到安全终端控制台和SecureX中。
有效时间
请注意,start_time是19:30:00 UTC。如果您在安全终端控制台中看到事件,隔离发生在19:31:20 UTC。
但是,在SecureX中,当您查找信息时(大约在19:33:26 UTC/13:33:26 CST),end_time尚未完成,因此缓存尚未过期。
不过,您可以看到遥测已发布到SecureX。
API信息
在HAR日志中可以看到,缓存到期,新的start_time开始。
注意:在SecureX的API信息中,您可以看到使用的URL,因此您可以检查您的HAR日志并进行比较。
缓存到期示例
- 安全客户端 — 计算机摘要:近乎即时
- FMC — 事件摘要:1分钟
- SMA — 传入邮件摘要:5分钟
- Umbrella — 按类别划分的安全阻止(一般):5分钟