Ну простой event log via wmi, в котором только журнал application, у вас заработал?

неа

А если application на security поменять?

Добрый день! Подскажите пожалуйста обновление поверх с v.19.1 до 21.0.2836 корректно проходит?

Ну, официально это поддерживаемый путь. Конкретные билды 19.1 в документации указаны

Спасибо

Всем привет! Ребят, подскажите по паре моментов плиз

Заказчик переносит серваки Core, ES и SIEM Server в другой ЦОД (агенты остаются на месте), со сменой адресации и сменой СХД (готовы потерять все события) и потом переезжают с R22 на R23

Вопросы
1. Агенты же можно не трогать, потом перепривязать на новую инсталляцию и всё, да?
2. Надо забэкапить и восстановить: активы, написанные правила (нормализация, корреляция, агрегация и ТС), и запускаемые задачи. С этим могут быть сложности?

Добрый день. Установка коре дошла до MongoDB и дальше не идет. Нет сообщения об ошибке. Уже час в таком положении.

It takes time.. be patient..

1 hour?

у вас, кстати, ES на 22 старый?

новый

интересуют процессы бэкапа и восстановления, это автоматизированно? можно поднять новую инсталляцию и влить туда базу активов (со структурой), задач и правил?

или в итоге придется руками перепиливать?)

на ту же версию в той же кнфигурации - да, штатные скрипты резервного копирования и восстановления это и делают.

ну как я понимаю, логика такая:
1. Бэкап
2. Поднятие новой инсталляции
3. Перепривязка агентов
4. Восстановление из бэкапа
5. Обновление воссановленной инсталляции до R23

ничего не может "пойти не так" в первом приближении?)

2 - установка с настройками из xml_файлов  бакапа
3 - восстановление всего из бакапа при помощи скриптов.
4 - смена адреса ядра в агентах.
(все из документации)

если пароли на БД, RMQ/etc меняли - то нужно быть внимательнее при восстановлении.