К
речь однако была о сборке JSON вместо нечитабельного delimiter separated
Size: a a a
2020 September 06
e
видели и даже со степенью вложенности больше 1
Это не моих рук дело.
К
Это не моих рук дело.
источники бывают разные...)))
К
так-то и событие на 800кб тоже видели
e
источники бывают разные...)))
Не-не, вопрос был "А вы видели JSON в нормализованном событии?"
К
и логи, которые пишутся в очередь сообщений - тоже
e
А вы видели JSON в нормализованное событии?)
* нормализованном
e
В общем, буду рад увидеть крутую интеграцию MP SIEM и R-Vision IRP )
К
* нормализованном
об том и спич же. не всегда степень вложенности JSON-а позволяет движения класса "повторить кусок кода Н раз для извлечения значений"
К
В общем, буду рад увидеть крутую интеграцию MP SIEM и R-Vision IRP )
когда рвижн родит забор инцидентов через вебхук...
e
об том и спич же. не всегда степень вложенности JSON-а позволяет движения класса "повторить кусок кода Н раз для извлечения значений"
Это процесс нормализации, он выполняется над исходным событием. В MP SEIM в нормализованном событии JSON отсутствует (но пригодился бы).
К
Это процесс нормализации, он выполняется над исходным событием. В MP SEIM в нормализованном событии JSON отсутствует (но пригодился бы).
иногда наличествует, а вот как тип данных - отсутствует
К
равно как и возможность адекватно разобрать событие неизвестной вложенности
e
иногда наличествует, а вот как тип данных - отсутствует
А можете пример привести JSON в нормализованном событии? (ток без кастомных костылей)
Мне действительно интересно.
Мне действительно интересно.
NA
Такое может быть в, основном, у самописного приклада. Крупные вендоры таким не промышляют.
e
А можете пример привести JSON в нормализованном событии? (ток без кастомных костылей)
Мне действительно интересно.
Мне действительно интересно.
Просто я одно время топил за такую модель событий.
МЖ
А можете пример привести JSON в нормализованном событии? (ток без кастомных костылей)
Мне действительно интересно.
Мне действительно интересно.
в каспере KICS в свое время писал в KSC в стандартную табличку в поле message текст с ноды в Json
МЖ
как сейчас - хз
МЖ
но вполне могла быть ситуация. при которой сам message забирался, как и для всех событий
e
Максим Жевнерев
в каспере KICS в свое время писал в KSC в стандартную табличку в поле message текст с ноды в Json
Максим, я ж про уже нормализованное событие...
Исходные события в JSON с двойной вложенностью и я нормализовывал (вроде, даже недавно).
Исходные события в JSON с двойной вложенностью и я нормализовывал (вроде, даже недавно).