F
Добрый день, подскажите пожалуйста, Maxpatrol SIEM на windows server 2019 устанавливается? В документации написанно 2008, 2012. Но сейчас даже 2016 купить нельзя.
Size: a a a
2020 December 11
AS
Follow White Rabbit
Добрый день, подскажите пожалуйста, Maxpatrol SIEM на windows server 2019 устанавливается? В документации написанно 2008, 2012. Но сейчас даже 2016 купить нельзя.
Смотря какая версия. R23 и выше умеет 2016 и 2019
М_
Разбежка по времени управляется корректировкой тайм дельты в профиле сбора
Спасибо нашел - input_description_default_time_delta но это решает мою проблему лишь частично, так как источников около десятка и разбежка у всех разная. Как вариант создавать профили для каждого источника и прописывать дельту, но опять же так как на источниках время не синхронизируется есть вероятность, что через некоторое время "дельты" не хватит.
AS
Михаил _
Спасибо нашел - input_description_default_time_delta но это решает мою проблему лишь частично, так как источников около десятка и разбежка у всех разная. Как вариант создавать профили для каждого источника и прописывать дельту, но опять же так как на источниках время не синхронизируется есть вероятность, что через некоторое время "дельты" не хватит.
А нет возможности синхронизировать время на источниках?
AS
ориентироваться на recv_time вместо time тоже будет неправильно. Вдруг агент подвиснет, или задача будет какое-то время остановлена, а потом вы её запустите и модуль файловых журналов соберёт историю начиная с места до которого журнал был прочитан в прошлый раз.
М_
А нет возможности синхронизировать время на источниках?
В том и проблема, источники территориально разбросаны и править время только непосредственно через консоль.
источники передают события по syslog, так что если агент "подвиснет" то только потеря событий.
источники передают события по syslog, так что если агент "подвиснет" то только потеря событий.
AS
Михаил _
В том и проблема, источники территориально разбросаны и править время только непосредственно через консоль.
источники передают события по syslog, так что если агент "подвиснет" то только потеря событий.
источники передают события по syslog, так что если агент "подвиснет" то только потеря событий.
Оставляю слово другим экспертам. Имхо, время на всех объектах инфраструктуры должно быть синхронизировано. Есть для этого различные инструменты и способы. Если на объектах разные таймзоны, то это как раз решается корректировкой таймзоны в профиле. А если просто время разбегается при чём местами на пол часа - это странно
D
для сислога в профиле можно указать несколько input'ов с разными дельтами, для разных IP
m
могу только согласиться с тем, что несинхронизированное время - лишние проблемы и при штатной работе и при расследовании инцидентов.
елси источники в разных часовых выставите коррекцию часового пояса для каждой группы источников.
елси источники в разных часовых выставите коррекцию часового пояса для каждой группы источников.
RS
для сислога в профиле можно указать несколько input'ов с разными дельтами, для разных IP
+
М_
max
могу только согласиться с тем, что несинхронизированное время - лишние проблемы и при штатной работе и при расследовании инцидентов.
елси источники в разных часовых выставите коррекцию часового пояса для каждой группы источников.
елси источники в разных часовых выставите коррекцию часового пояса для каждой группы источников.
Полностью согласен по поводу времени, планируем устранение, но пока приходится работать, с тем, что есть.
m
Михаил _
Полностью согласен по поводу времени, планируем устранение, но пока приходится работать, с тем, что есть.
ну тогда плодить инпуты в профиле syslog для групп хостов с разным смещением времени и вписывать им коррекцию (и надеяться на то что она такая и будет дальше)
М_
max
ну тогда плодить инпуты в профиле syslog для групп хостов с разным смещением времени и вписывать им коррекцию (и надеяться на то что она такая и будет дальше)
Да, спасибо на данный момент остается только такой вариант.
e
max
ну тогда плодить инпуты в профиле syslog для групп хостов с разным смещением времени и вписывать им коррекцию (и надеяться на то что она такая и будет дальше)
А обогащением нельзя изменить значение поля time (раньше как-то не задавался таким вопросом)?
RS
А обогащением нельзя изменить значение поля time (раньше как-то не задавался таким вопросом)?
Даже если получится, то возможность не является поддерживаемой официально
e
Даже если получится, то возможность не является поддерживаемой официально
Ну да - не баг, а фича =)
2020 December 14
AS
Приветствую, кто уже пробовал разворачивать PT UCS для обновления SIEM?
К
Alexey Sergienko
Приветствую, кто уже пробовал разворачивать PT UCS для обновления SIEM?
пробовали. если у вас сием не целиком на виндах, то он не закроет собой обновление.
AS
пробовали. если у вас сием не целиком на виндах, то он не закроет собой обновление.
Как раз целиком, хотелось подробности узнать.
К
Alexey Sergienko
Как раз целиком, хотелось подробности узнать.
что именно? там в целом почти всё по документации, основной момент - зацепить миньоны к мастеру и проверить, что они таки зацепились.