RS
мммм, а это с какой версии так можно фильтровать стало, с 23?
да
Size: a a a
2020 October 15
v
спасибо, пойду грустить
RS
IY
не, просто regex
и ещё можно явно прописать action Allow/Deny
и ещё можно явно прописать action Allow/Deny
Это описано в документации? Я как-то эту фичу упустил, хотя давно ждал(
IY
Хотелось бы ознакомиться
RS
Это описано в документации? Я как-то эту фичу упустил, хотя давно ждал(
да, конечно
рефгайд
40.2.3. Модуль syslog
рефгайд
40.2.3. Модуль syslog
IY
да, конечно
рефгайд
40.2.3. Модуль syslog
рефгайд
40.2.3. Модуль syslog
Супер, спасибо
RS
может даже видео было снято )))
IY
может даже видео было снято )))
фича тупо кайф, как же я её ждал
RS
Раз уж зашла речь про агент и специфические сценарии. В 23.1 у filemonitor появилась возможность фильтрации набора путей к файлам логов. Шаблон на имя файла с логом всегда был, понятное дело. Но случались экзотические проблемы с наличием большого количества ненужных папок с кучей ненужных файлов, что могло приводить к проблемам с производительностью. Теперь появилась возможность регулярками отфильтровать ещё и папки, в которых ищутся файлы с логами
v
У меня тут появлялся кейс с тем, что есть логи, которые нужно забирать из файла, сами логи системы обезличенные, а имя УЗ находится в имени папки, в которой лежат файлы с логами
Мы с некоторыми присутствующими тут ребятами так и не смогли придумать, как связать эти вещи и обогатить событие, примапив к нему имя папки, в которой лежит файл лога с событием
Предупреждая тему с отдельными профилями\задачами и фильтрами под каждую УЗ, скажу, что пользователей в системе на одну инсталляцию сием - около 8 тысяч..))
Мы с некоторыми присутствующими тут ребятами так и не смогли придумать, как связать эти вещи и обогатить событие, примапив к нему имя папки, в которой лежит файл лога с событием
Предупреждая тему с отдельными профилями\задачами и фильтрами под каждую УЗ, скажу, что пользователей в системе на одну инсталляцию сием - около 8 тысяч..))
IY
Раз уж зашла речь про агент и специфические сценарии. В 23.1 у filemonitor появилась возможность фильтрации набора путей к файлам логов. Шаблон на имя файла с логом всегда был, понятное дело. Но случались экзотические проблемы с наличием большого количества ненужных папок с кучей ненужных файлов, что могло приводить к проблемам с производительностью. Теперь появилась возможность регулярками отфильтровать ещё и папки, в которых ищутся файлы с логами
v
закину сюда, вдруг у кого будут мысли)
RS
Это понятная история. Сейчас такое только через CEC можно сделать. Про штатную поддержку на уровне модуля пока никаких обещаний дать не можем
c
закину сюда, вдруг у кого будут мысли)
Я бы такое сделал следующим образом: установил бы nxlog, настроил бы в нём мониторинг фалов с логами, а записи из них пересылал бы в SIEM по syslog, добавляя к каждой записи имя файла/директории.
🅳
max
Если нет возможности обновиться - запросите в ТП обновление системных профилей для 21.0
Запросил обновления профилей для 21-ой версии в ТП, прислали, установил, в профиль syslog теперь стало можно вставить special_events_assembly.
Но так и не получил склеенных событий, события . syslog все также в только TEXT, a не в JSON. Спросил в ТП не надо ли что то обновить на агенте, сказали нет. Странно это...
Но так и не получил склеенных событий, события . syslog все также в только TEXT, a не в JSON. Спросил в ТП не надо ли что то обновить на агенте, сказали нет. Странно это...
m
🅳Ⓐ🅽
Запросил обновления профилей для 21-ой версии в ТП, прислали, установил, в профиль syslog теперь стало можно вставить special_events_assembly.
Но так и не получил склеенных событий, события . syslog все также в только TEXT, a не в JSON. Спросил в ТП не надо ли что то обновить на агенте, сказали нет. Странно это...
Но так и не получил склеенных событий, события . syslog все также в только TEXT, a не в JSON. Спросил в ТП не надо ли что то обновить на агенте, сказали нет. Странно это...
Покажите сырое событие, пожалуйста.
лучше в приват наверно
лучше в приват наверно
🅳
А смысл слать сырое событие? События от auditd стандартные, auditd настроен согласно инструкции проекта экспертизы.
Я так понимаю, что при получении событий агент должен их склеить в JSON, а он этого не делает, наверное потому что не умеет и его надо обновить?
Я так понимаю, что при получении событий агент должен их склеить в JSON, а он этого не делает, наверное потому что не умеет и его надо обновить?
RS
🅳Ⓐ🅽
А смысл слать сырое событие? События от auditd стандартные, auditd настроен согласно инструкции проекта экспертизы.
Я так понимаю, что при получении событий агент должен их склеить в JSON, а он этого не делает, наверное потому что не умеет и его надо обновить?
Я так понимаю, что при получении событий агент должен их склеить в JSON, а он этого не делает, наверное потому что не умеет и его надо обновить?
мы советуем начать с обновления агента на последнюю версию 21
и посмотреть, что получится
не выйдет - тикет с логом задачи и профилем
и посмотреть, что получится
не выйдет - тикет с логом задачи и профилем
🅳
мы советуем начать с обновления агента на последнюю версию 21
и посмотреть, что получится
не выйдет - тикет с логом задачи и профилем
и посмотреть, что получится
не выйдет - тикет с логом задачи и профилем
Писал в ТП , лог и часть профиля выслал. Насчёт обновления агента спросил, сказали не надо, а для обновления нужен дистрибутив обновленного агента...