R
Итого - -f 2020-09-08T07:05:00 -t 2020-09-08T12:20:00 => так работает
Size: a a a
2020 September 08
AS
Михаил _
Сейчас порядка 350-380
С точки зрения производительности SIEM это слишком мало чтобы об этом париться.
С точки зрения пределов по активам лицензии, на сколько я знаю это скорее рекомендации по сайзингу. Опять же, технически SIEM от такого кол-ва не сломается. Лучше согласовать с сейлом небольшое превышение чтобы он был в курсе.
Если очень захочется отключить создание и обновление активов из событий касперского, то обратитесь в техподдержку, дадим инструкции
С точки зрения пределов по активам лицензии, на сколько я знаю это скорее рекомендации по сайзингу. Опять же, технически SIEM от такого кол-ва не сломается. Лучше согласовать с сейлом небольшое превышение чтобы он был в курсе.
Если очень захочется отключить создание и обновление активов из событий касперского, то обратитесь в техподдержку, дадим инструкции
R
Если брать с 10:05:00 уже нет, видимо да - новые данные
A
RB
Если брать с 10:05:00 уже нет, видимо да - новые данные
попробуйте добавить
--debugR
-f now-5h -t now => тоже не работает
R
2020-09-08 13:42:14,715: Detected ES version: 7.4
2020-09-08 13:42:14,814: No ptsiem_r_ indices in ES
2020-09-08 13:42:14,815: Indices in ES: siem_events_2020-09-08
2020-09-08 13:42:14,827: Rendered query: {
"query": {
"bool": {
"filter": [
{
"bool": {
"must": [
{
"exists": {
"field": "body"
}
},
{
"term": {
"normalized": false
}
},
{
"range": {
"time": {
"gte": "2020-09-08T10:05:00Z"
}
}
},
{
"range": {
"time": {
"lte": "2020-09-08T10:20:00Z"
}
}
}
]
}
}
]
}
}
}
2020-09-08 13:42:14,828: Requesting next batch
2020-09-08 13:42:14,837: No more data
2020-09-08 13:42:14,814: No ptsiem_r_ indices in ES
2020-09-08 13:42:14,815: Indices in ES: siem_events_2020-09-08
2020-09-08 13:42:14,827: Rendered query: {
"query": {
"bool": {
"filter": [
{
"bool": {
"must": [
{
"exists": {
"field": "body"
}
},
{
"term": {
"normalized": false
}
},
{
"range": {
"time": {
"gte": "2020-09-08T10:05:00Z"
}
}
},
{
"range": {
"time": {
"lte": "2020-09-08T10:20:00Z"
}
}
}
]
}
}
]
}
}
}
2020-09-08 13:42:14,828: Requesting next batch
2020-09-08 13:42:14,837: No more data
A
уточнил, сейчас если не ставить Z то будет браться локальное время
A
если Z то UTC
A
точно есть события именно в этом окне?
R
точно есть события именно в этом окне?
R
Например, вообще это чекпоинт
R
там событий вагон
М_
С точки зрения производительности SIEM это слишком мало чтобы об этом париться.
С точки зрения пределов по активам лицензии, на сколько я знаю это скорее рекомендации по сайзингу. Опять же, технически SIEM от такого кол-ва не сломается. Лучше согласовать с сейлом небольшое превышение чтобы он был в курсе.
Если очень захочется отключить создание и обновление активов из событий касперского, то обратитесь в техподдержку, дадим инструкции
С точки зрения пределов по активам лицензии, на сколько я знаю это скорее рекомендации по сайзингу. Опять же, технически SIEM от такого кол-ва не сломается. Лучше согласовать с сейлом небольшое превышение чтобы он был в курсе.
Если очень захочется отключить создание и обновление активов из событий касперского, то обратитесь в техподдержку, дадим инструкции
Спасибо за информацию. Подумаю, как лучше поступить (отключить создание/не обращать внимание).
R
Так то я понимаю, что скорее я что-то не так делаю) Ибо с export_data проблем особых не возникало
D
RB
в интерфейсе у вас время отображается в таймзоне браузера, учитывайте это
RS
а почему мы о recv_time говорим?
R
кстати да
R
оно же там time
A
R
Во, слона не заметил