v
события группируются по одному хосту по разным регистрам написания event_src.host
Size: a a a
2020 August 13
AS
Подскажите пожалуйста, как искать события регистроезависимо? читал в админ гайде, что можно менять настройки компонента сиема, но это глобальная настройка, а можно ли в запросе указать как-то?
либо регистрозависимость полей в ES включена либо выключена. От этого зависит результат и возможность сортировки по фильтрам. Для 7го эластика можно включить, но по умолчанию регистронезависимый поиск выключен, чтобы не вредить производительности
v
понял, то есть либо\либо
v
а нет никакой козырочки, типа как lower? :D
AS
добрый день, проводим пилот и при добавлении актива пишет "Актив уже существует, но доступ к нему запрещен. Обратитесь к администратору системы." При просмотре активов, данного актива нет. Где копать и что искать?
Я бы отсортировал активы по дате последнего обновления и посмотрел когда обновлялся последний. Возможно запрос на добавление актива уже отправлен в БД, но ещё не обработан и причин может быть две:
1) большая очередь сканов на обработку
2) сбой в работе компонентов которые обрабтывают сканы.
Для диагностики можно обратиться в техподдержку
1) большая очередь сканов на обработку
2) сбой в работе компонентов которые обрабтывают сканы.
Для диагностики можно обратиться в техподдержку
v
а нет никакой козырочки, типа как lower? :D
нет ли функции, которая при PDQL запросе будет всё транспонировать в, например lowercase, как это делают в правилах корреляции\номализации, что бы по запросу event_src.host = host, я нахоит хосты с названием host, HOsT, HOST
v
либо регистрозависимость полей в ES включена либо выключена. От этого зависит результат и возможность сортировки по фильтрам. Для 7го эластика можно включить, но по умолчанию регистронезависимый поиск выключен, чтобы не вредить производительности
А на сколько в ES 7 регистронехависимость "вредит" проихводительности?
A
А на сколько в ES 7 регистронехависимость "вредит" проихводительности?
теоретически не должна вредить совсем, но мы это пока не проверяли. Такие тесты есть в планах.
v
ну то есть на инсталляции 10-15к епс не умрем?
v
пока там 7-8к, но скоро еще подключать
A
ну то есть на инсталляции 10-15к епс не умрем?
на запись это не повлияет, проблемы могут теоретически быть при группировках по большой глубине (месяц)
v
понял, спасибо!
2020 August 14
AI
Я бы отсортировал активы по дате последнего обновления и посмотрел когда обновлялся последний. Возможно запрос на добавление актива уже отправлен в БД, но ещё не обработан и причин может быть две:
1) большая очередь сканов на обработку
2) сбой в работе компонентов которые обрабтывают сканы.
Для диагностики можно обратиться в техподдержку
1) большая очередь сканов на обработку
2) сбой в работе компонентов которые обрабтывают сканы.
Для диагностики можно обратиться в техподдержку
сортировка не помогла. Ни одного актива не видно, хотя выводит сообщение что актив добавляется (приложил скрин). походу придется в техподдержку обратиться.
AS
сортировка не помогла. Ни одного актива не видно, хотя выводит сообщение что актив добавляется (приложил скрин). походу придется в техподдержку обратиться.
Да, там походу со службой активов все плохо. Можно проверить статус всех служб Core и посмотреть какие ошибки есть в HM. А дальше техподдержка подскажет нужные журналы для анализа
AI
Да, там походу со службой активов все плохо. Можно проверить статус всех служб Core и посмотреть какие ошибки есть в HM. А дальше техподдержка подскажет нужные журналы для анализа
все сервисы имеют статус "Running" 🤔
AS
все сервисы имеют статус "Running" 🤔
Такое тоже бывает. Тогда только по журналам техподдержке анализировать
AI
покопался в сервисах на дебиане, там mpagent.service имеет статус failed
AI
попытаюсь его поднять
v
нет ли функции, которая при PDQL запросе будет всё транспонировать в, например lowercase, как это делают в правилах корреляции\номализации, что бы по запросу event_src.host = host, я нахоит хосты с названием host, HOsT, HOST
Коллеги, вроде как ответ на мой вопрос- функция match?
v
пытаюсь её использовать, но очень коряво как -то она ищет