6
Чита/Краснокаменск?
Бинго
Size: a a a
2020 December 11
АС
А надо бы ещё 1434 udp
После открытия порта 1434 UDP и указания в настройках транспорта odbc использовать порт по умолчанию 0 и tcp порт 1433 всё заработало. Спасибо
ММ
Добрый день, коллеги, подскажите, PT MaxPatrol NAD Sensor можно ставить совместно с низконагруженной инсталляцией? Не вижу его на соответствующей схеме. Написано просто, что компонент устанавливать не нужно. А если мне нужно?) Апаться до средненагруженной инсталляции сразу?
Не разрешается, если это ПАК. Не рекомендуется, если не соответствует суммарному профилю нагрузки.
A
Максим Максимович
Не разрешается, если это ПАК. Не рекомендуется, если не соответствует суммарному профилю нагрузки.
Спасибо. А как суммарный профиль посчитать? NAD в низконагруженной версии не приведен, брать его ттх из средненагруженной и выносить на отдельный сервер? Но все равно не понятно, как он загрузит AiO, когда будет туда данные лить
Д
Коллеги, добрый день. Может кто-нибудь подсказать по разработке правил нормализации для сислога?
Хочу в нормализованное событии сохранить оригинальное сырое. Такое возможно?
Попытка datafield1 = TEXT успехом не увенчалась (
Хочу в нормализованное событии сохранить оригинальное сырое. Такое возможно?
Попытка datafield1 = TEXT успехом не увенчалась (
SR
Дмитрий
Коллеги, добрый день. Может кто-нибудь подсказать по разработке правил нормализации для сислога?
Хочу в нормализованное событии сохранить оригинальное сырое. Такое возможно?
Попытка datafield1 = TEXT успехом не увенчалась (
Хочу в нормализованное событии сохранить оригинальное сырое. Такое возможно?
Попытка datafield1 = TEXT успехом не увенчалась (
Добрый день
Начиная с R22 сырое событие автоматом сохраняется в поле body
Это не подходит для ваших задач?
Начиная с R22 сырое событие автоматом сохраняется в поле body
Это не подходит для ваших задач?
Д
Спасибо! То, что надо!
DD
Коллеги подскажите, SIEM Server, поддерживает Debian 9.12 или, от какой версии, он его поддерживает?
Л
Denis David
Коллеги подскажите, SIEM Server, поддерживает Debian 9.12 или, от какой версии, он его поддерживает?
С 22
DD
Ясно, а 21 идет только на 9.4 ?
RS
Denis David
Ясно, а 21 идет только на 9.4 ?
Без танцев с бубном - да
DD
Без танцев с бубном - да
А танец это понижение версии ядра?
RS
Denis David
А танец это понижение версии ядра?
Ну на 9.6 оно сходу не работало. Я уже не помню всех деталей про причины
DD
Понял.
DD
Спасибо за ответ.
AS
если говорить про серт версию R21 то её рекомендуют ставить на Debian 9.4
DD
если говорить про серт версию R21 то её рекомендуют ставить на Debian 9.4
Да именно ее.
SF
Есть ли аналог псевдонима @Vulners.Howtofix из 23 версии в версии 22?
М_
Добрый день, коллеги.
Пишу правило корреляции где условием является A->В (в течение 30 минут) проблема в том, что на устройствах генерирующих событие В не настроено время и на данный момент нет возможности это исправить, "разбежка" около часа. Соответственно корреляция не срабатывает. Вопрос есть возможность сделать в правиле корреляции time =recv_time без правки siem.conf ?
Пишу правило корреляции где условием является A->В (в течение 30 минут) проблема в том, что на устройствах генерирующих событие В не настроено время и на данный момент нет возможности это исправить, "разбежка" около часа. Соответственно корреляция не срабатывает. Вопрос есть возможность сделать в правиле корреляции time =recv_time без правки siem.conf ?
AS
Михаил _
Добрый день, коллеги.
Пишу правило корреляции где условием является A->В (в течение 30 минут) проблема в том, что на устройствах генерирующих событие В не настроено время и на данный момент нет возможности это исправить, "разбежка" около часа. Соответственно корреляция не срабатывает. Вопрос есть возможность сделать в правиле корреляции time =recv_time без правки siem.conf ?
Пишу правило корреляции где условием является A->В (в течение 30 минут) проблема в том, что на устройствах генерирующих событие В не настроено время и на данный момент нет возможности это исправить, "разбежка" около часа. Соответственно корреляция не срабатывает. Вопрос есть возможность сделать в правиле корреляции time =recv_time без правки siem.conf ?
Разбежка по времени управляется корректировкой тайм дельты в профиле сбора