A
ну как бы ластик с периодическими мержами и так доставляет изрядное количество проблем. а если перемержить все индексы?)
так я про это же
Size: a a a
2020 June 04
ES
Да, диск заполнился почти до порога, поэтому и хотел почистить
К
Взять список событий по recv_ipv4, потом выбрать id и удалить
а мерж при этом, кстати, нужно запускать руками по каждому индексу?
A
а мерж при этом, кстати, нужно запускать руками по каждому индексу?
можно списком можно по *
К
можно списком можно по *
списком через запятую?.. эндпоинт же _forcemerge? а то как-то не удалось
🎅L
Привет всем!
Помогите отписать правильно запрос. Заказчик хочет (цитата): "Посчитать уникальные учётные записи в коде 4776 за 10 минут. Групировать по ip"
Помогите отписать правильно запрос. Заказчик хочет (цитата): "Посчитать уникальные учётные записи в коде 4776 за 10 минут. Групировать по ip"
MP
MP
🎅L
Mikhail - вы человечище! Спасибо
e
Mikhail Pomzov
Ну почти. Это же WinEventLog, а у него не заполняется поле event_src.ip.
Так что, видимо, нужно группировать по event_src.host (имя узла, на котором было сгенерировано событие) или recv_ipv4 (IP узла, с которого было собрано событие. Возможно, это будет IP промежуточного сервера-сборщика логов).
Но аналогичные кейсы логичнее искать по событию 4624 с группировкой по src.host/src.ip (для выявления аномалий по источникам подключений) или с группировкой по dst.host/event_src.host (для выявления аномалий по целевым хостам подключений).
Так что, видимо, нужно группировать по event_src.host (имя узла, на котором было сгенерировано событие) или recv_ipv4 (IP узла, с которого было собрано событие. Возможно, это будет IP промежуточного сервера-сборщика логов).
Но аналогичные кейсы логичнее искать по событию 4624 с группировкой по src.host/src.ip (для выявления аномалий по источникам подключений) или с группировкой по dst.host/event_src.host (для выявления аномалий по целевым хостам подключений).
A
списком через запятую?.. эндпоинт же _forcemerge? а то как-то не удалось
через зпт, вот так POST siem_events_2020-04-30,siem_events_2020-05-14/_forcemerge
MP
Ну почти. Это же WinEventLog, а у него не заполняется поле event_src.ip.
Так что, видимо, нужно группировать по event_src.host (имя узла, на котором было сгенерировано событие) или recv_ipv4 (IP узла, с которого было собрано событие. Возможно, это будет IP промежуточного сервера-сборщика логов).
Но аналогичные кейсы логичнее искать по событию 4624 с группировкой по src.host/src.ip (для выявления аномалий по источникам подключений) или с группировкой по dst.host/event_src.host (для выявления аномалий по целевым хостам подключений).
Так что, видимо, нужно группировать по event_src.host (имя узла, на котором было сгенерировано событие) или recv_ipv4 (IP узла, с которого было собрано событие. Возможно, это будет IP промежуточного сервера-сборщика логов).
Но аналогичные кейсы логичнее искать по событию 4624 с группировкой по src.host/src.ip (для выявления аномалий по источникам подключений) или с группировкой по dst.host/event_src.host (для выявления аномалий по целевым хостам подключений).
верно, я просто не стал сильно вникать в суть задачи, просто я похожие запросы сейчас делал и решил помочь
🎅L
Спасибо! У заказчика получилось
e
Mikhail Pomzov
верно, я просто не стал сильно вникать в суть задачи, просто я похожие запросы сейчас делал и решил помочь
Ну я тоже мимо крокодил... но не смог пройти мимо. =)
К
да, это я тоже читал... думал, может магия какая есть...
MH
hello
MH
i received this message
MH
The number of messages in the queue pt.mpx.assets.events is about to exceed its limit.