Телеграмм чат группы MPSIEMChat страница 1082

просто у пересылки виндовой есть нюанс настройки по времени доставки

20:22пожаловаться #1

Задержка событий
По мере создания событий на клиенте механизм переадресации событий занимает некоторое время, чтобы переслать их в сборщик.

Эта задержка может быть вызвана конфигурацией подписки, например параметром DeliveryMaxLatency , производительностью сборщика, пересылку или сетью.

Примечание Убедитесь в том, что на клиенте не перезаписываются события, прежде чем они будут переадресованы.Обычно вам придется управлять этой проблемой, только когда клиенты создают большое количество событий (например, занятый сервер или DC пересылает журнал безопасности).

20:23пожаловаться #2

может просто они на коллектор попадают с задрежкой из-за настроек подписки

20:24пожаловаться #3

тогда recv_time будет существенно выше original_time вместе с historical true

20:24пожаловаться #4

*хоспаде, какже эти вопросы на сертифкации по CS достали

20:25пожаловаться #5

640kilobyte

тогда recv_time будет существенно выше original_time вместе с historical true

у меня нет ни одного события с historical true

20:26пожаловаться #6

или они и не отобразятся в интерфейсе?

20:27пожаловаться #7

отобразятся

20:30пожаловаться #8

что по *_time у запаздывающих событий?

20:31пожаловаться #9

640kilobyte

что по *_time у запаздывающих событий?

они не запаздывают, они вообще не появляются

20:33пожаловаться #10

хотя в логах типа собираются

20:33пожаловаться #11

перезапускаю задачу, опять пиково собираются, и попадают в систему, но не с того момента на котором остановились, а с того, как я перезапустил, и между нама в разрыве уже ничего не заполняется

20:34пожаловаться #12

O_o

20:34пожаловаться #13

эм, я думал просто запаздывают

20:35пожаловаться #14

Roman Sergeev in MaxPatrol SIEM

virars

у меня нет ни одного события с historical true

Смотрите на incorrect_time, если запаздывание больше суток. Historical просто из профиля копируется.

20:36пожаловаться #15

Roman Sergeev in MaxPatrol SIEM

Какой поток приходит на WEC? Какой версии у вас SIEM?

20:37пожаловаться #16

Roman Sergeev

Смотрите на incorrect_time, если запаздывание больше суток. Historical просто из профиля копируется.

хмр. в документации говорится что после incorrect_time автоматом historical лепиться, через профиль можно просто это форсировать

20:37пожаловаться #17

но могу быть не прав. надо поспать.

20:39пожаловаться #18

Roman Sergeev in MaxPatrol SIEM

640kilobyte

Это странно. В моей картине мира historical просто отключает механизм коррекции времени, который и может проставить incorrect в true

20:40пожаловаться #19

Roman Sergeev

Время (UTC+0) события в
PT MaxPatrol SIEM. Обычно time =
original_time, для ненормализован-
ных событий time = recv_time.
Также, если в поле original_time ука-
зано время регистрации события бо-
лее суток назад и поле historical =
false, то time = recv_time.
Примечание. Суточный интервал уста-
ревания события может быть изменен
в конфигурационном файле siem.conf
в объекте normalizer в параметре
expected_event_time_deviation