MG
Коллеги! Есть ли какие то ограничения по развертыванию siem в высоконагруженной конфигурации на виртуалках?
В доках не увидел
Size: a a a
2020 August 05
2020 August 06
🅳
E
🅳Ⓐ🅽
Коллеги! Есть ли какие то ограничения по развертыванию siem в высоконагруженной конфигурации на виртуалках?
В доках не увидел
В доках не увидел
в целом нет, просто соблюсти требования к производительности
RS
в документации к 23.1 должен появиться раздел про VMWare
если вам срочно, то можем админгайд выдать новый
если вам срочно, то можем админгайд выдать новый
К
ура!
К
а можно мне?
Z
И мне;)
AK
И мне;)
+1
M
+1)
MG
Карая раздача пошла) +1
RS
это был implementation гайд )
у меня ужасный интернет сейчас
чуть позже Катя выложит
у меня ужасный интернет сейчас
чуть позже Катя выложит
K
У
Приветствую. Подскажите как правильно использовать функцию substr(f1, f2, f3) для нормализованного события?
Требуется найти символ $ в конце поля object.name и все. Обязательно ли указывать 3 аргумент?
Требуется найти символ $ в конце поля object.name и все. Обязательно ли указывать 3 аргумент?
У
Собираюсь использовать функцию substr() в макросе.
v
Коллеги, столкнулся со странным явлением, в заказчике много тачек Windows подаются через WEC (который по совместительству SIEM Agent), сегодня заметил события такого плана, где в event_src.host забито очень короткое имя компьютера- "PC". Заказчик не может найти такой хост в системе, журнал коллектора к сожалению уже перезатерся, вот жду, что еще раз событие выскочит... Но может кто-то сталкивался?
v
v
ping PC с cmd коллектора не дал результатов)))
6
Коллеги, столкнулся со странным явлением, в заказчике много тачек Windows подаются через WEC (который по совместительству SIEM Agent), сегодня заметил события такого плана, где в event_src.host забито очень короткое имя компьютера- "PC". Заказчик не может найти такой хост в системе, журнал коллектора к сожалению уже перезатерся, вот жду, что еще раз событие выскочит... Но может кто-то сталкивался?
это имя машины, которое она сама записала в события и переслала. Не исключено что новую машину закидывали в домен (переслылка же через gpo?) и потом переименовали
6
или просто переслыкой старые события до входа в домен всосало
6
вспомнил что такое происходит, да