簡介
本文檔介紹SecureX磁貼中的快取如何工作。
資訊是否在SecureX Live Data中?
這個問題的答案是否定的。這是因為,在SecureX中,每個整合和每個磁貼都有一個特定的快取。
過期時間因整合和磁貼本身而異。
例如,您可以使用安全終端(CSE)和SecureX整合。
首先,驗證整合是否有效且有效,然後導航至 Integration Modules > My Integration Modules
.
搜尋您的安全終端模組並確認其已整合且未顯示錯誤。
整合檢查
然後,在CSE控制檯中觸發「隔離事件」。
控制檯事件
導航回到SecureX,檢查與隔離區對應的磁貼,您可以注意到沒有資料。
SecureX無資料
如圖所示,自CSE控制檯中發生該事件以來已過去至少2分鐘。
查詢時間
要更好地理解儀表板中為什麼沒有顯示任何資料,請導航到Quarantines Tile,然後按一下 ellipsis (...) > Information.
SecureX隔離
此資訊顯示SecureX中為此特定磁貼硬編碼的Valid_time值。
導航到data,然後展開名為valid_time的部分。
API資訊
無論查詢時間如何,start_time和end_time之間的差值始終為5分鐘。
請注意,如前所述,此start_time和end_time差異取決於整合和Tile本身。
經過至少5分鐘後,導航回到SecureX,現在您可以看到事件。
隔離事件
過帳快取時間
這些資訊自行刷新,但是,如果您需要更多資訊,可以在故障排除會話期間捕獲HTTP存檔格式(HAR)日誌。
注意:建議使用Persistent Har日誌,它們稱得更重,但在重新方向中仍能存在,頁面將刷新。
如果收集HAR日誌並開啟它們,則可以在安全終端控制檯和SecureX中檢視事件發生的有效時間並關聯檢測時間。
有效時間
請注意,start_time是19:30:00 UTC。如果您在安全終端控制檯中看到該事件,隔離發生在UTC的19:31:20。
但是,在SecureX中,當您查詢資訊時(大約在19:33:26 UTC/13:33:26 CST),end_time尚未完成,因此快取尚未過期。
不過,您可以看到遙測已發佈到SecureX。
API資訊
您可以在HAR日誌中看到快取過期且新的start_time開始。
注意:在SecureX的API資訊中,您可以看到使用的URL,因此您可以檢查您的HAR日誌並進行比較。
快取過期示例
- 安全客戶端 — 電腦摘要:近乎即時
- FMC — 事件摘要:1分鐘
- SMA — 傳入郵件摘要:5分鐘
- Umbrella — 按類別劃分的安全塊(常規):5分鐘