RS
я думал что если актив участвует в задачах с сием, то оон подтянет его fqdn самостоятельно
recv_asset то заполнился?
Size: a a a
2020 November 30
v
recv_asset то заполнился?
тоже самое, что и в recv_ip
v
записывает ip-адрес
G
коллеги, добрый день. А поделитесь пожалуйста CI/CD пайплайном для тестирования правил корреляции своих. Кто тестит через gitlab-ci?
v
Коллеги, еще такой вопрос, в части ротации и удаления архивных событий, в админ гайде есть инструкции по автоматизации архивирования (через сколько дней, например, заносить индекс в архивный), а также по удалению текущих (не архивных) индексов через tailcutter (по дням и проценту заполнения активного хранилища)
Собственно мой вопрос - где я могу настроить удаление по сроку давности, но не активного, а архивного хранилища?
Собственно мой вопрос - где я могу настроить удаление по сроку давности, но не активного, а архивного хранилища?
e
Коллеги, еще такой вопрос, в части ротации и удаления архивных событий, в админ гайде есть инструкции по автоматизации архивирования (через сколько дней, например, заносить индекс в архивный), а также по удалению текущих (не архивных) индексов через tailcutter (по дням и проценту заполнения активного хранилища)
Собственно мой вопрос - где я могу настроить удаление по сроку давности, но не активного, а архивного хранилища?
Собственно мой вопрос - где я могу настроить удаление по сроку давности, но не активного, а архивного хранилища?
В curator-е ;)
c
Коллеги, еще такой вопрос, в части ротации и удаления архивных событий, в админ гайде есть инструкции по автоматизации архивирования (через сколько дней, например, заносить индекс в архивный), а также по удалению текущих (не архивных) индексов через tailcutter (по дням и проценту заполнения активного хранилища)
Собственно мой вопрос - где я могу настроить удаление по сроку давности, но не активного, а архивного хранилища?
Собственно мой вопрос - где я могу настроить удаление по сроку давности, но не активного, а архивного хранилища?
c
🤷♂️
v
R22
v
или в r22 еще не предусмотрено такого?)
SS
11.10?
c
R22
v
беда))
Z
tailcutter по дефолту встает в 22 ?
RS
tailcutter по дефолту встает в 22 ?
да вроде должен вместе с ролью storage ставиться c 21.1
Z
да вроде должен вместе с ролью storage ставиться c 21.1
а не на mpserver он стартует?
RS
а не на mpserver он стартует?
Нет.
И по документации, и по смыслу он должен быть на storage, так как ему надо место на диске мерять именно на storage
И по документации, и по смыслу он должен быть на storage, так как ему надо место на диске мерять именно на storage
RS
Ну и ещё небольшой вопрос - если события собираются с Windows EventLog Collector, который запущен на агенте MP SEIM, то в событиях не проставляется recv_ipv4, это бага или фича?
а что с recv_ipv6?