V
и вот теперь приходиться разбираться с mp
по соображениям безопасности не хотим открывать доступы от агентов до тачек,
хотим что-бы логи слались через nxlog
Size: a a a
2019 February 21
ММ
Можно через стандартный виндовый механизм event subscription, если мне память не изменяет там узлы на сервер шлют
V
у нас и так nxlog шлёт, просто mp не хочет в snare
ММ
перенормализовавыть логи винды в новом формате - если только вы сами захотите))
V
скорее всего будет пилить нормализацию формата snare в самом mp
ММ
честно, это выглядит странно для виндовых логов, я бы использовал WEC сервер
V
а ещё подскажите, можно ли как-то посмотреть ненормализованные логи в mp, не лезя в сам es ?
ММ
есть утилита export_data.exe
ММ
у нее много параметров выгрузки данных
IS
Коллеги, а где можно почитать по поводу plain_parser, который в inputs в профиле?
ММ
В личку синул, что есть)
IS
Коллеги, сделал такой профиль, в файле на который он натравлен 3 строки, но он присылает одно сообщение и все три строки в одной
Если убрать plain_parser, то отрабатывает нормально и присылает 3 сообщения
Где напортачил?)
Если убрать plain_parser, то отрабатывает нормально и присылает 3 сообщения
Где напортачил?)
IY
коллеги, кто-нибудь подключал Dallas Lock в качестве источника?
2019 February 22
SK
Я как-то раз подключал, через их СБ.
IY
Я как-то раз подключал, через их СБ.
у меня Заказчик не хочет развертывать SQL для D-Lock, лишняя сущность.
я так понимаю, вы по мануалу PT подключали, через базу?
я так понимаю, вы по мануалу PT подключали, через базу?
SK
Ага. Там ещё может быт небольшое веселье с аудитом. Заказчик немножко не расчитал и когда мы включили сбор логов - сервер далласа захлебнулся и упал.
SK
А как он собирается осбирать логи далласа без СБ? С каждой рабочей станции отдельно и парсить?
2019 February 24
v
+ 15 человек.
Хочется спросить от куда вы все? :)
Хочется спросить от куда вы все? :)
Z
+ 15 человек.
Хочется спросить от куда вы все? :)
Хочется спросить от куда вы все? :)
))
IS
Похожи на бывших пользователей splunk)