i
ещё было бы круто иметь возможность генерить отчет в виде таблицы в html или экселевского файла, где группой событий является отдельный лист
Size: a a a
2020 August 12
A
мы пользуемся. не хватает возможности пробрасывать группы в отчет.
а какими именно из списка ?
i
а какими именно из списка ?
90% случаев - детальный отчет по всем событиям. 10% - отчет по статистике.
i
это из тех кейсов, которые в принципе закрываются позитивными отчетами. есть ещё некоторое количество самописных отчетов, которые дергают ластик или фронтэнд
i
их порядка 40% от общего числа
v
Коллеги, пытаюсь протюнить правило корреляции, которое ругается на службы kaspersky, запускаемые из каталога temp, добавил исключение в фильтр ивента, но они всё равно проскакивают
v
object.name такого плана
v
добавил and not (object.name, "KL Deployment Wrapper%%")")
И
v
да, перепутал с pdql в активах
v
ммм, а может подскажете тогда, если сузить правило...
там не просто любой символ, а именно 2 символа из 16ричного разряда
там не просто любой символ, а именно 2 символа из 16ричного разряда
v
это можно как-то описать?
RS
substr
m
regex?
v
substr
это будет сравнение без 2 имволов?
v
max
regex?
вот может кто точно делал подобное?
RS
это будет сравнение без 2 имволов?
это будет как вы сделаете
судя по вашим событиям, служба имеет шаблон имени X$1$2, где $1 и $2 - символ 0-9,a-f,A-F, а X всегда постоянное
судя по вашим событиям, служба имеет шаблон имени X$1$2, где $1 и $2 - символ 0-9,a-f,A-F, а X всегда постоянное
m
вот может кто точно делал подобное?
например системные правила корреляции
.... regex(lower(subject.name), "^umfd-\d{1,3}$", 0) == null ...
.... regex(lower(subject.name), "^umfd-\d{1,3}$", 0) == null ...
R
Хм, кстати, а match можно использовать в рамках query в табличные списки при корреляции? Или там только regexp при соответствуещем типе поля в табличном работает? Не подскажете?
m
RB
Хм, кстати, а match можно использовать в рамках query в табличные списки при корреляции? Или там только regexp при соответствуещем типе поля в табличном работает? Не подскажете?
в query некоторое время назад появился regex_match
query TestQuery ($check_object) from Tabular_List_Service_Names {
regex_match($check_object, column::Object)
}
зачем еще и match?
query TestQuery ($check_object) from Tabular_List_Service_Names {
regex_match($check_object, column::Object)
}
зачем еще и match?