一、在线状态判断机制简述
控制面+数据面正常,则判定设备在线 (适用于AF/EDR/CWPP/SIP/STA,AC/SIR/云镜仍然只判断BBC)。
控制面=BBC(组件与云图连通)+联动通道(可理解为联动处置业务通道正常,真实探测,比如EDR-隔离主机,AF-封禁IP等等)。
数据面=心跳或者日志上报XDR正常。
>>如果接入的设备有心跳上报,数据面则探测心跳。如果心跳超过2轮没有正常上报,则判断数据面异常,设备转离线;只要心跳恢复上报,设备即转在线。
>>如果接入的设备没有心跳,则使用日志最近同步时间。如果设备在最近24小时内有日志,则判断为数据面通,即设备在线,反之,设备转离线
>>如果离线只是数据面异常导致的(根据!的异常详情判断),此时不影响联动下发。
二、名词释义
连通性测试:立即触发探测,优先探测控制面,其次探测数据面,两者都通过则探测成功,探测结果将刷新设备状态。
心跳:数据湖植入的cloud_sdk到组件,约每5-6分钟上报一次,通路和日志上报一样,用于探测和监控日志上报的链路正常。
设备信息:组件通过cloud_sdk上报业务IP地址、版本号、序列号授权情况给XDR,一小时上报一次。
异常信息:展示设备告警、设备状态,如离线原因、低版本告警、系统时间差、序列号即将过期/已过期/不正确等异常,用于提示用户及时修复问题。
日志详情:查询当天00:00起设备上报的日志,日志类型和数量保持和日志检索一致
