Тогда техподдержке нужны журналы всех установок.

Как мне кажется можно попробовать удалить постгре и попробовать ещё раз. Возможно нужно будет реестр почистить

Ну там у них есть клинер. Полностью удалить всё и заново инсталлер запустить. А то дальше может ругаться на монго и много чего ещё

Всем привет. Напомните, плиз, в профиле модуля filemonitor, в секции input, есть поддержка regex ?

как у модуля syslog

Пока нет

Понял, спасибо.

Тогда лучше сразу ОС переустановить)
Там инсталлятор умный. Все некорректные компоненты он пытается восстановить. Все корректные, он пропускает. Проблема при восстановлении постгре, инсталлятор сам не может восстановить, потому что от старой установки что-то мешает

День добрый.

Коллеги, подскажите, где можно посмотреть, в высоконагруженном сиеме, имя хостов сервер и сторадж?

IP (обычно указывают ip, а не fqdn) можно посмотреть на ядре:
corecfg get
Hostname, наверное, лучше посмотреть на самих узлах или во внешней системе мониторинга СИЕМ. Вы же мониторите эти узлы, да?)

Просто инфу посмотреть

Еще вопрос

Core Application Registration почему может не стартовать?

А что он в своем журнале пишет ?

Опять с регистром в имени проблемы? (

2020-12-15 23:42:10,193 [16916:5] Windows service terminated.
2020-12-15 23:43:55,080 [16448:14] Microservice has error state, service will be disposed.
2020-12-15 23:43:55,099 [16448:10] Microservice 'ApplicationRegistration' finished with Error state.
Details: Exception: System.AggregateException: One or more errors occurred. ---> Shared.Errors.ErrorException: Error encountered while communicating with remote service.
Error details:
{
 "Uri": "https://siem-core:3334/ptms/api/sso/v2/client_application/permissions",
 "Message": "Internal Server Error",
 "Code": 500,
 "Type": "api.call.error"
}

  at ApplicationRegistration.ApplicationRegistrationMicroservice.Synchronize(IContainer container, CancellationToken cancellationToken)
  at ApplicationRegistration.ApplicationRegistrationMicroservice.Initialize(IInitializationContext context)
  at Shared.Microservices.Microservice.Initialize(MicroserviceConfiguration configuration, CancellationToken token)
  at System.Threading.Tasks.Task`1.InnerInvoke()
  at System.Threading.Tasks.Task.Execute()
  --- End of inner exception stack trace ---
---> (Inner Exception #0) Shared.Errors.ErrorException: Error encountered while communicating with remote service.
Error details:
{
 "Uri": "https://siem-core:3334/ptms/api/sso/v2/client_application/permissions",
 "Message": "Internal Server Error",
 "Code": 500,
 "Type": "api.call.error"
}

  at ApplicationRegistration.ApplicationRegistrationMicroservice.Synchronize(IContainer container, CancellationToken cancellationToken)
  at ApplicationRegistration.ApplicationRegistrationMicroservice.Initialize(IInitializationContext context)
  at Shared.Microservices.Microservice.Initialize(MicroserviceConfiguration configuration, CancellationToken token)
  at System.Threading.Tasks.Task`1.InnerInvoke()
  at System.Threading.Tasks.Task.Execute()<---

Тогда смотреть журнал iam.
Но предварительно стоит проверить, что везде в настройках *HostAddress именно siem-core в нижнем регистре и что это имя ресолвится в адрес коры

ERROR [24] WebApi #2271 Unexpected exception. System.InvalidOperationException: Policy error while contacting the discovery endpoint https://SIEM-core:3334/.well-known/openid-configuration: Endpoint belongs to different authority: https://siem-core:3334/.well-known/openid-configuration/jwks
  at IdentityModel.AspNetCore.OAuth2Introspection.PostConfigureOAuth2IntrospectionOptions.<GetIntrospectionEndpointFromDiscoveryDocument>d__3.MoveNext()

регистр в hostname?

SIEM-core
вот оно