Телеграмм чат группы MPSIEMChat страница 1269

Mikhail

Это ПвП) пиво-водка-пепси)

Пиво-водка-печень

22:22пожаловаться #1

2021 January 11

S

Sergey in MaxPatrol SIEM & VM

Коллеги, добрый день!
получили MPSIEM (21.1.3058) в составе платформы PT187.
настроил сбор событий с источников, но вот беда. событий в SIEM нет (толи лыжи не едут, толи я).
стал разбираться и обнаружил: при проверке "systemctl status siemserver*service", у всех статус active (running), кроме вот этого "siemserver-rmqmon.service - SIEM Server RabbitMQ monitor".

подскажите, куда копать, или сразу в ТП писать?

11:28пожаловаться #2

G

Всем привет. Кто может подсказать? Наблюдаю дубликаты правил и списков в PTKB. Часть из них системные. Как я могу перевести системные правила в пользовательские, чтобы мог удалить их из базы или переименовать дубликаты, хотя-бы

11:36пожаловаться #3

6

Всем привет. Кто может подсказать? Наблюдаю дубликаты правил и списков в PTKB. Часть из них системные. Как я могу перевести системные правила в пользовательские, чтобы мог удалить их из базы или переименовать дубликаты, хотя-бы

Системные не удалить. Можно только их не ставить

11:45пожаловаться #4

6

Группы правил очень при этом помогают

11:45пожаловаться #5

G

@red_lion Выгрузить не получается правила из dev, чтобы залить нужный пак на рабочую систему

11:47пожаловаться #6

6

@red_lion Выгрузить не получается правила из dev, чтобы залить нужный пак на рабочую систему

А это уже странно

11:48пожаловаться #7

G

ТП говорит, что из-за копий системных названий не выгрузить правила. Не сохраняет ptkb файл. "Ошибка получения данных из siem"

11:49пожаловаться #8

i

int 0x80 in MaxPatrol SIEM & VM

ТП говорит, что из-за копий системных названий не выгрузить правила. Не сохраняет ptkb файл. "Ошибка получения данных из siem"

так не выгружайте дубликаты

11:53пожаловаться #9

G

посмотрю, как можно сделать. экспертные паки вообще не выгружались

11:56пожаловаться #10

E

EИ0Ʇ in MaxPatrol SIEM & VM

Sergey

Коллеги, добрый день!
получили MPSIEM (21.1.3058) в составе платформы PT187.
настроил сбор событий с источников, но вот беда. событий в SIEM нет (толи лыжи не едут, толи я).
стал разбираться и обнаружил: при проверке "systemctl status siemserver*service", у всех статус active (running), кроме вот этого "siemserver-rmqmon.service - SIEM Server RabbitMQ monitor".

подскажите, куда копать, или сразу в ТП писать?

Добрый. Насколько я помню, данный сервис и не должен запускаться, я бы смотрел сначала в журнал задачи сбора данных.

12:08пожаловаться #11

S

Sergey in MaxPatrol SIEM & VM

EИ0Ʇ

Добрый. Насколько я помню, данный сервис и не должен запускаться, я бы смотрел сначала в журнал задачи сбора данных.

ок. спс. значит не стоит грешить на этот сервис

12:18пожаловаться #12

G

а кто-либо в R23.1 встречал ошибку 400 при обращении к адресу https://XXX:8091/api-studio/siem/export/?contentDatabase=dev ?

13:21пожаловаться #13

G

export.PNG

(34.75 Кб)

13:21пожаловаться #14

E

EИ0Ʇ in MaxPatrol SIEM & VM

а кто-либо в R23.1 встречал ошибку 400 при обращении к адресу https://XXX:8091/api-studio/siem/export/?contentDatabase=dev ?

а в логах frontend чтонибудь интересное есть?

13:29пожаловаться #15

G

еще смотрю

13:29пожаловаться #16

К

Кац in MaxPatrol SIEM & VM

а кто-либо в R23.1 встречал ошибку 400 при обращении к адресу https://XXX:8091/api-studio/siem/export/?contentDatabase=dev ?

табличные списки себя нормально ведут? сталкивались c таким при повреждении базы fpta

13:48пожаловаться #17

m

max in MaxPatrol SIEM & VM

а кто-либо в R23.1 встречал ошибку 400 при обращении к адресу https://XXX:8091/api-studio/siem/export/?contentDatabase=dev ?

Логи самого ptkb глянуть надо

13:48пожаловаться #18

G

Кац

табличные списки себя нормально ведут? сталкивались c таким при повреждении базы fpta

Вроде нормально. Ничего критичного не было

13:49пожаловаться #19

SS

Sergey Shtin in MaxPatrol SIEM & VM

Всем привет. У кого-нибудь была ошибка "Cannot generate SSPI context" при подключении источника ODBC? Изначально был подключен источник, потом что-то изменилось