e
Size: a a a
2020 December 16
e
Экспертная инсталляция AiO R23.1
i
Экспертная инсталляция AiO R23.1
а в эту выборку вообще хоть один адрес 192.168 попал?
e
а в эту выборку вообще хоть один адрес 192.168 попал?
Неа
i
полнотекстовый поиск лишь условно - например, "user-name" - найдется, если вокруг него были определенные символы-отделители, а вот "user" или "user-" - уже нет
i
Неа
сейчас мы узнали, что точка не является подходящим разделителем. надо сказать, что я удивлен.
i
так же, возможно, что есть ограничение на длину токена. 192.168 тоже не находится?
e
полнотекстовый поиск лишь условно - например, "user-name" - найдется, если вокруг него были определенные символы-отделители, а вот "user" или "user-" - уже нет
А я узнал, что такой поиск можно называть "полнотекстовым поиском" =)
e
так же, возможно, что есть ограничение на длину токена. 192.168 тоже не находится?
Не находится, пробовал без экранирования точки и с ним.
i
Не находится, пробовал без экранирования точки и с ним.
нет, экранирование здесь ни при чем
GK
Коллеги, подскажите, пожалуйста, фильтр:
body contains "XXX"
должен выполнить поиск "ХХХ" по всем raw-событиям, так?
body contains "XXX"
должен выполнить поиск "ХХХ" по всем raw-событиям, так?
При поиске по "body contains ..." реализован не поиск по подстроке, а поиск по токенам, на которые разбивается строка. Токенизация проводится по алгоритму, описанному вот тут: https://unicode.org/reports/tr29/
i
При поиске по "body contains ..." реализован не поиск по подстроке, а поиск по токенам, на которые разбивается строка. Токенизация проводится по алгоритму, описанному вот тут: https://unicode.org/reports/tr29/
а как по body искать по подстроке?
e
При поиске по "body contains ..." реализован не поиск по подстроке, а поиск по токенам, на которые разбивается строка. Токенизация проводится по алгоритму, описанному вот тут: https://unicode.org/reports/tr29/
Спасибо за подробности. Может, тогда скорректировать формулировку "полнотекстовый поиск" на что-то более подходящее?
GK
а как по body искать по подстроке?
У меня, к сожалению, нет ответа на этот вопрос. Может быть кто-то из коллег лучше подскажет.
e
а как по body искать по подстроке?
По-старинке - сохранять весь RAW в datafieldN =)
i
По-старинке - сохранять весь RAW в datafieldN =)
и ждать, пока ластик сдохнет нахрен?)
i
ещё можно событие нормализовывать в обогащении. неудобно, но можно
RS
нам был важен сценарий фильтрации по полностью заданному ip или fqdn
поэтому токенизатор для body не делит по точкам
поэтому токенизатор для body не делит по точкам
e
нам был важен сценарий фильтрации по полностью заданному ip или fqdn
поэтому токенизатор для body не делит по точкам
поэтому токенизатор для body не делит по точкам
Можно хоть в ЛС получить такие подробности, чтобы лишний раз не копаться в логах?
2020 December 17
v
Коллеги, у кого есть опыт в проведении аудита средствами MP SIEM? Интересует аудит cisco, кто может помочь с настройкой задачи?