В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу
2020 August 11

q

qwec in MaxPatrol SIEM
Спасибо!
источник
12:19пожаловаться#1

v

virars in MaxPatrol SIEM
Ребят, подскажите варианты, в чем могут быть проблемы
на коллекторах вроде нормализация проходит, отставания победил, но часть событий не попадает в систму (события журналов security, application, system)
источник
15:10пожаловаться#2

v

virars in MaxPatrol SIEM
причем события с таким же id есть, то есть это событие нормализуется
источник
15:10пожаловаться#3

v

virars in MaxPatrol SIEM
и на этом хосте есть другие события, то есть на коллектор они поступают
источник
15:10пожаловаться#4

RS

Roman Sergeev in MaxPatrol SIEM
Если вы не успеваете собирать с WEC, то события могут успеть отротироваться
источник
15:16пожаловаться#5

v

virars in MaxPatrol SIEM
То есть решение увеличить размер журнала на коллекторе, и уменьшить интервал между подключениями агента?
источник
16:00пожаловаться#6

RS

Roman Sergeev in MaxPatrol SIEM
если оно реально не успевает, то это ничего не даст
я не просто так говорю про необходимость обновления агента
источник
16:09пожаловаться#7

v

virars in MaxPatrol SIEM
на 23 версию?
источник
16:22пожаловаться#8

v

virars in MaxPatrol SIEM
да не, вроде разобрались, всё-таки часть событий не посылается на коллектор на сам
источник
16:22пожаловаться#9

AR

Alexey Razumov in MaxPatrol SIEM
фильтр подписки тогда проверьте
источник
16:23пожаловаться#10

v

virars in MaxPatrol SIEM
еще вопрос, голову ломаю, не могу понять как сделать
мне нужно понять, с каких хостов НЕ поступают журналы, например, security
источник
16:23пожаловаться#11

v

virars in MaxPatrol SIEM
я могу найти все хосты, с которых поступают журналы на коллектор, сгрупировав, могу найти все на которые поступают события из этого журнала, но как оставить в выборке только те хосты, с которых никогда не поступали события из security?))
источник
16:24пожаловаться#12

v

virars in MaxPatrol SIEM
я сломался)
источник
16:25пожаловаться#13

6

640kilobyte in MaxPatrol SIEM
virars
я могу найти все хосты, с которых поступают журналы на коллектор, сгрупировав, могу найти все на которые поступают события из этого журнала, но как оставить в выборке только те хосты, с которых никогда не поступали события из security?))
вопрос - проблема только в событиях из security?
источник
16:34пожаловаться#14

6

640kilobyte in MaxPatrol SIEM
осатльные журналы норм?
источник
16:34пожаловаться#15

v

virars in MaxPatrol SIEM
нет, где-то проблемы с application, где -то с security и т д
источник
16:45пожаловаться#16

v

virars in MaxPatrol SIEM
вот поэтому надо придумать подобный фильтр, что бы явино увидеть проблемные хосты
источник
16:46пожаловаться#17

v

virars in MaxPatrol SIEM
так как их на каждом коллекторе порядка 500-1000, а сидеть сверять из всего списка хостов те, которые не повторяются - жжжжесть)))
источник
16:48пожаловаться#18

v

virars in MaxPatrol SIEM
Нет ни у кого идей, как такой фильтр можно накрутить?
источник
16:49пожаловаться#19

v

virars in MaxPatrol SIEM
А при группировке событий есть ограничение на 1000 строк, да?..😔
источник
16:57пожаловаться#20