Hi
Please, check the Core Assets Premerger service state
What kind of deployment scheme do you use? All-in-one? Dedicated SIEM Linux host and Windows Core machine?
What is your EPS rate?

linux host and windows host meduim size siem

please check the network utilization on link between linux and windows

is there a watchdog file i can change limit on?

nope
it's irrelevant
what about EPS rate?
and network speed(1Gb or 10Gb)?

1 G

could you check network utilisation on windows side?
resource monitor
network
order processes by total desc
show snapshot, please

less than 100 k

who is on top?

Am not sure how to find who is on the top?

sort processes by clicking on Total (B/sec) column

try this
1. Stop assets premerger service
2. Make a backup of Assets.PreMerger.Host.exe.config file (location depends on installation settings)
3. Change this config in runtime section:
from
 <runtime>
   <gcServer enabled="true"/>
   <gcConcurrent enabled="false"/>
to
 <runtime>
   <gcServer enabled="false"/>
   <gcConcurrent enabled="true"/>
4. Start Assets Premerger again

👍

we found some issues wtih garbage collection in last weeks and in some cases this dramatically changes the picture
but no warranties, of course

Thank you will change it and let you know

Morning All. is is normal to have an event that is not normalized while it is a windows eventlog? shouldnt this be covered already as basic normalization for windows?

Коллеги, добрый день.
Сможет кто-нибудь подсказать по правилу корреляции по директиве rule?
Есть задача, выпустить инцидент по 2-ум событиям, в которых будет идентичный логин, но поля ip и hostname отличаться (т.е. ip != ip, hostname != hostname). У меня получается условие "Event[2] with different (ip, hostname)", но в этом случае сработка идёт при не совпадении хотя бы одного из параметров, а нужно двух одновременно, по логике "И".

добрый день, без тестов сложно точный ответ дать, но я бы смотрел в сторону фильтров

Фильтр не поможет, по идее. Фильтр только отбросит "лишние" события. Сейчас буду тестировать так: ((Event[2] with diferent ip) and (Event[2] with diferent host))

Вероятно, такая последовательность будет фолзить (FP), например, у вас прилетело 2 Event с разными IP и ещё 2 Event c разными host.