AS
Сейчас попробую собрать логи с коллектора другим агентом, который стоит не на коллекторе)
Так кеш то на агенте проверяли? Если на графиках в SIEM вы видите 400 eps и это с учётом опазданий, то по факту может быть намного выше
Size: a a a
2020 August 11
v
Вот после перезапуска задачи, он просто бросает на том мете где закончил, потом берется с другого места и потом опять еле еле тащит задачи
v
Так кеш то на агенте проверяли? Если на графиках в SIEM вы видите 400 eps и это с учётом опазданий, то по факту может быть намного выше
Как именно проверить?
v
я сбрасывал службу агента через файлик agent id.reset несколько раз и ребутал серверы с агентом, это не помогает
AS
Вот после перезапуска задачи, он просто бросает на том мете где закончил, потом берется с другого места и потом опять еле еле тащит задачи
Recv time присваивается агентом. Поэтому все события после 20:29 могли находится в кеше агента. Сброс агента и перезапуск задачи сбрасывают кеш, так что все логично. Проверить можно в папке private (На агенте в %PROGRAMDATA% найти папку агента, папка private).
Sql файл имеет имя такое же как job id задачи (можно посмотреть его в логе или актуальном событии)
Sql файл имеет имя такое же как job id задачи (можно посмотреть его в логе или актуальном событии)
AS
А ещё можно посмотреть лог задачи, каждые 5 минут пишутся метрики (кол-во полученных событий). По ним можно точнее поток оценить
v
Recv time присваивается агентом. Поэтому все события после 20:29 могли находится в кеше агента. Сброс агента и перезапуск задачи сбрасывают кеш, так что все логично. Проверить можно в папке private (На агенте в %PROGRAMDATA% найти папку агента, папка private).
Sql файл имеет имя такое же как job id задачи (можно посмотреть его в логе или актуальном событии)
Sql файл имеет имя такое же как job id задачи (можно посмотреть его в логе или актуальном событии)
ну если кэш очистился, это же не может быть проблемой того, что он забился спустя 15 минут работы коллектора?
v
да какой 15, всё встает уже через пару минут
AS
ну если кэш очистился, это же не может быть проблемой того, что он забился спустя 15 минут работы коллектора?
Если за одну минуту приходит очень много событий то может.
Надо смотреть прибывают ли потихоньку события с агента или через 2 минуты вообще перестают поступать новые события. Потом смотреть журнал задачи на наличие ошибок.
Надо смотреть прибывают ли потихоньку события с агента или через 2 минуты вообще перестают поступать новые события. Потом смотреть журнал задачи на наличие ошибок.
R
Коллеги, чекпоинт удалось подключить по OPSEC, но после подключения очень странно парсятся события, у всех так?
Добрый день! А в чем проблема была, не подскажете? Столкнулся с таким-же поведением. Лог-сервер отдельно от management, OPSEC Session ended with code '11', reason: 'SIC_FAILURE' . GAiA 80
v
RB
Добрый день! А в чем проблема была, не подскажете? Столкнулся с таким-же поведением. Лог-сервер отдельно от management, OPSEC Session ended with code '11', reason: 'SIC_FAILURE' . GAiA 80
В итоге логи были не отдельно от менеджмента
v
Запустил методом тыка без отдельного sic-name в профиле и целью указал менеджмент - стало забирать
R
Ага, спасибо. Так пробовал, не меняется ситуация. Сообщу коллегам, пусть проверяют приложение тогда...
v
Если за одну минуту приходит очень много событий то может.
Надо смотреть прибывают ли потихоньку события с агента или через 2 минуты вообще перестают поступать новые события. Потом смотреть журнал задачи на наличие ошибок.
Надо смотреть прибывают ли потихоньку события с агента или через 2 минуты вообще перестают поступать новые события. Потом смотреть журнал задачи на наличие ошибок.
Поиграл я с настройками профиля, поперезагружал агенты вроде один "вылечился"
v
У второго тоже не критично, отставание примерно на 30 минут, но recv time раньше, чем time из сырого события (ну уже с учётом парсинга времени из другого часового пояса)
v
Видимо просто там сервер времени "спешит".. Хз уже
q
q
Коллеги, добрый день
При попытке обновления Сиема на дебиане возникает следующая ошибка. Кто-нибудь сталкивался?
При попытке обновления Сиема на дебиане возникает следующая ошибка. Кто-нибудь сталкивался?
SR
qwec
Коллеги, добрый день
При попытке обновления Сиема на дебиане возникает следующая ошибка. Кто-нибудь сталкивался?
При попытке обновления Сиема на дебиане возникает следующая ошибка. Кто-нибудь сталкивался?
Добрый день
Вам нужен доступ к репам или подключили DVD диск дебиановский
Вам нужен доступ к репам или подключили DVD диск дебиановский
m
qwec
Коллеги, добрый день
При попытке обновления Сиема на дебиане возникает следующая ошибка. Кто-нибудь сталкивался?
При попытке обновления Сиема на дебиане возникает следующая ошибка. Кто-нибудь сталкивался?
Подключить репозитарий debian. Ну или вручную докачать нужные пакеты.