Я с чекпоинтом не особо, но не думаю что это нормальное явление?

сек

у меня тоже в orig ip

и он верный)

в итоге у меня логи собираются на сервере управления и забираются оттуда, как я понимаюв идеале должно быть так: в recv_ip должен быть адрес сервера управления, в  event.src.host адрес Check Point с коротого логи пришли

у меня туда попадает ip в меньше чем 1 проценте случаев)

забавно)

в остальном всё обратные маски

грешить на настройки чека?

поле peer_gateway он берет для знаечения адреса VPN-шлюз, не есть ли это сам чекпоинт?

так всю жизнь было и это то ли бага, то ли фича

Понял, окей)) спасибо)

Коллеги, привет!
Не подскажете по проблеме с receiver в R22?
Не поступают события в очереди RMQ на SIEM Server, сам receiver запущен. Если перезапустить receiver, то в очереди поступит ~5К пачек событий, очень быстро разберутся, но события больше не будут поступать.  
В его логе так:
2020-07-27T19:54:49.696+0700 [34466:34472] main.error: Read site identifier failed: Read site id at 'localhost:8013/v1/sites/default' failed: connection error
2020-07-27T21:29:36.828+0700 [1044:1158] receiver.worker.error: Emergency stop open socket: a socket error occurred

Точно помню, что была такая бага в R19.1-R20. Вроде, исправлялась обновлением RMQ (уже включили в релиз), но сейчас на сервере актуальный для MP SIEM RMQ.

Вроде ее фиксили в последней версии 22

Последняя версия R22. Но видимо, проблема в другом (хоть и симптоматика схожая) - flowcontrol закрывает соединения.

Привет! Могу пока сказать что мне такой баг неизвестен. Хорошо бы дамп ресивера в момент зависания снять, и с логами сиема и кролика в саппорт заглянуть)

Ещё глянь на момент зависания есть ли консюмеры у очереди ресивер на ядре

Хм

Консьюмеры есть.