6
Size: a a a
2020 December 28
SS
Добрый день. Подскажите, пожалуйста. Создал правило корреляции с $correlation_type = "incident". При этом корреляционное событие создается, а сам инцидент нет. В чем может быть причина?
RS
Добрый день. Подскажите, пожалуйста. Создал правило корреляции с $correlation_type = "incident". При этом корреляционное событие создается, а сам инцидент нет. В чем может быть причина?
а сервис инцидентов на ядре живой?
SS
а сервис инцидентов на ядре живой?
да. Все сервисы на ядре running
AP
RS
да. Все сервисы на ядре running
А коробочные правила инциденты создают?
AS
Добрый день. Подскажите, пожалуйста. Создал правило корреляции с $correlation_type = "incident". При этом корреляционное событие создается, а сам инцидент нет. В чем может быть причина?
может функционал инцидентов прилёг. Попробуйте вручную инцидент создать и удалить.
RR
Всем привет. Подскажите, кто настраивал самостоятельно WEC, почему после создания подписки с фильтром XML приходит cсервера события минут 5 и затем перестают поступать в журнал ForwardedEvent.После отключения, включения и повтора подписки не решается проблема. Если удалить и заново создать копию подписки, то события начинаю снова поступать с этого сервера и после 5 минут событий нет. Пробовал отдельно для АРМ создать подписку и тоже самое. При этом на АРМ в журнале Windows Remote Management успешные события с кодом 132 Кто стакивался? Тип подписки инициировано исходным компьютером, количество компьютеров 1000. Но на сервере WEC в журнале Windows Remote Management наблюдаются события "Сбой авторизации пользователя с ошибкой 5" с кодом 192. В фильтре XML указал события за последний час.
e
Roman Redikultsev
Всем привет. Подскажите, кто настраивал самостоятельно WEC, почему после создания подписки с фильтром XML приходит cсервера события минут 5 и затем перестают поступать в журнал ForwardedEvent.После отключения, включения и повтора подписки не решается проблема. Если удалить и заново создать копию подписки, то события начинаю снова поступать с этого сервера и после 5 минут событий нет. Пробовал отдельно для АРМ создать подписку и тоже самое. При этом на АРМ в журнале Windows Remote Management успешные события с кодом 132 Кто стакивался? Тип подписки инициировано исходным компьютером, количество компьютеров 1000. Но на сервере WEC в журнале Windows Remote Management наблюдаются события "Сбой авторизации пользователя с ошибкой 5" с кодом 192. В фильтре XML указал события за последний час.
Привет!
Какая версия ОС и WinRM у источника?
Пересылка по HTTP? Ошибка авторизации какой УЗ (сервера)?
Какая версия ОС и WinRM у источника?
Пересылка по HTTP? Ошибка авторизации какой УЗ (сервера)?
RR
Привет!
Какая версия ОС и WinRM у источника?
Пересылка по HTTP? Ошибка авторизации какой УЗ (сервера)?
Какая версия ОС и WinRM у источника?
Пересылка по HTTP? Ошибка авторизации какой УЗ (сервера)?
ОС 2019, версию WinRM не знаю как посмотреть. По http, УЗ - NETWORK SERVICE
2020 December 29
e
А есть у WEC ещё клиенты с Win2019? С ними всё хорошо?
Можно попробовать выполнить на клиенте, после того, как события перестанут поступать:
winrm get winrm/config -r:http://wec.domain.local:5685
На клиенте посмотреть в журнал Microsoft-Windows-Forwarding/Operational и убедиться, что подписка применилась и никаких доп ошибок нет.
На коллекторе - Microsoft-Windows-EventCollector/Operational.
Ещё бы посмотреть с какого IP (v4/v6) обращается источник, скорее всего, получится увидеть только в трафике или в логах сетевых соединений.
Можно попробовать выполнить на клиенте, после того, как события перестанут поступать:
winrm get winrm/config -r:http://wec.domain.local:5685
На клиенте посмотреть в журнал Microsoft-Windows-Forwarding/Operational и убедиться, что подписка применилась и никаких доп ошибок нет.
На коллекторе - Microsoft-Windows-EventCollector/Operational.
Ещё бы посмотреть с какого IP (v4/v6) обращается источник, скорее всего, получится увидеть только в трафике или в логах сетевых соединений.
e
Ещё можно посмотреть все события неуспешных аутентификаций от УЗ ПК источника (DC, WEC).
t
Доброе утро, коллеги!
Кто-нибудь сталкивался с такой ошибкой при установке формулы нормализации, текст следующий:
Error converting value "mapping values are not allowed in this context in "<unicode string>", line 2, column 121" to type 'KnowledgeBase.Siem.SiemContext.Deploy.Dtos.SiemInstallationErrorDto'. Path 'errora[0]', line 1, position 154. Could not cast or convert from System.String to Knowledge.Siem.SiemContext.Deploy.Dtos.SiemInstallationErrorDto
Сборка 21, старая, да..
Кто-нибудь сталкивался с такой ошибкой при установке формулы нормализации, текст следующий:
Error converting value "mapping values are not allowed in this context in "<unicode string>", line 2, column 121" to type 'KnowledgeBase.Siem.SiemContext.Deploy.Dtos.SiemInstallationErrorDto'. Path 'errora[0]', line 1, position 154. Could not cast or convert from System.String to Knowledge.Siem.SiemContext.Deploy.Dtos.SiemInstallationErrorDto
Сборка 21, старая, да..
c
Вот бы увидеть что там в "line 2, column 121"
RR
А есть у WEC ещё клиенты с Win2019? С ними всё хорошо?
Можно попробовать выполнить на клиенте, после того, как события перестанут поступать:
winrm get winrm/config -r:http://wec.domain.local:5685
На клиенте посмотреть в журнал Microsoft-Windows-Forwarding/Operational и убедиться, что подписка применилась и никаких доп ошибок нет.
На коллекторе - Microsoft-Windows-EventCollector/Operational.
Ещё бы посмотреть с какого IP (v4/v6) обращается источник, скорее всего, получится увидеть только в трафике или в логах сетевых соединений.
Можно попробовать выполнить на клиенте, после того, как события перестанут поступать:
winrm get winrm/config -r:http://wec.domain.local:5685
На клиенте посмотреть в журнал Microsoft-Windows-Forwarding/Operational и убедиться, что подписка применилась и никаких доп ошибок нет.
На коллекторе - Microsoft-Windows-EventCollector/Operational.
Ещё бы посмотреть с какого IP (v4/v6) обращается источник, скорее всего, получится увидеть только в трафике или в логах сетевых соединений.
а порт точно 5685, не 5985?
e
Roman Redikultsev
а порт точно 5685, не 5985?
Опечатался)
Обычно, 5985
Обычно, 5985
t
Вот бы увидеть что там в "line 2, column 121"
Это фиг знает
Он так ругается на все формулы, которые устанавливаются
Он так ругается на все формулы, которые устанавливаются