Телеграмм чат группы MPSIEMChat страница 1281

2021 January 21

V

Коллеги добрый день! У кого-нибудь есть типовая форма отчета о проделанной работе (администрирование, мониторинг) по системе?

источник

15:30пожаловаться #1

SF

Serg Feodor in MaxPatrol SIEM & VM

Доброго вечера
После обновления MP SIEM до 23.1 отвалились:
- Core Events Sources Monitoring (Компонент Core Events Sources Monitoring недоступен.)
- SIEM Server Messaging Service (Компонент SIEM Server Messaging Service отвечает с задержками либо недоступен. Отправка сообщений на всех агентах будет временно приостановлена.)
Куда копать?

источник

19:34пожаловаться #2

EM

Eugene Matveev in MaxPatrol SIEM & VM

Serg Feodor

Доброго вечера
После обновления MP SIEM до 23.1 отвалились:
- Core Events Sources Monitoring (Компонент Core Events Sources Monitoring недоступен.)
- SIEM Server Messaging Service (Компонент SIEM Server Messaging Service отвечает с задержками либо недоступен. Отправка сообщений на всех агентах будет временно приостановлена.)
Куда копать?

Задачи сбора событий останавливали на период обновления?

источник

19:51пожаловаться #3

EM

Eugene Matveev in MaxPatrol SIEM & VM

Ошибка - rabbitmq переполнился потоком событий.

источник

19:51пожаловаться #4

EM

Eugene Matveev in MaxPatrol SIEM & VM

Возможно, из-за того, что при обновлении siem server агенты продолжали собирать события и засылали в очередь обработки

источник

19:52пожаловаться #5

SF

Serg Feodor in MaxPatrol SIEM & VM

Eugene Matveev

Задачи сбора событий останавливали на период обновления?

Да и запуск по расписанию выключали. Странно.
Завтра попробую посмотреть что в Rabbit.
Спасибо

источник

19:55пожаловаться #6

EM

Eugene Matveev in MaxPatrol SIEM & VM

Serg Feodor

Да и запуск по расписанию выключали. Странно.
Завтра попробую посмотреть что в Rabbit.
Спасибо

это симптом, не причина. Если к утру ситуация не решится, рекомендую обратиться в саппорт

источник

19:57пожаловаться #7

2021 January 22

SF

Serg Feodor in MaxPatrol SIEM & VM

Eugene Matveev

это симптом, не причина. Если к утру ситуация не решится, рекомендую обратиться в саппорт

Как ни странно очереди пусты, но в логах нашлось это:

mpx-siem-storage-NotSpecified.log:
PLAIN login refused: user 'mpx_siem' - invalid credentials
2021-01-22 07:26:25.664 [info] <0.23964.5> closing AMQP connection <0.23964.5> (IP:61610 -> IP:5672)
2021-01-22 07:26:32.690 [warning] <0.23973.5> HTTP access denied: user 'mpx_siem' - invalid credentials
2021-01-22 07:26:33.252 [warning] <0.23977.5> HTTP access denied: user 'mpx_siem' - invalid credentials

источник

08:58пожаловаться #8

EM

Eugene Matveev in MaxPatrol SIEM & VM

Serg Feodor

Как ни странно очереди пусты, но в логах нашлось это:

mpx-siem-storage-NotSpecified.log:
PLAIN login refused: user 'mpx_siem' - invalid credentials
2021-01-22 07:26:25.664 [info] <0.23964.5> closing AMQP connection <0.23964.5> (IP:61610 -> IP:5672)
2021-01-22 07:26:32.690 [warning] <0.23973.5> HTTP access denied: user 'mpx_siem' - invalid credentials
2021-01-22 07:26:33.252 [warning] <0.23977.5> HTTP access denied: user 'mpx_siem' - invalid credentials

Служебные сертификаты/учетки не меняли?

источник

12:11пожаловаться #9

SF

Serg Feodor in MaxPatrol SIEM & VM

Eugene Matveev

Служебные сертификаты/учетки не меняли?

Только в fqdn регистр меняли

источник

13:05пожаловаться #10

NC

Nikita Chirsky in MaxPatrol SIEM & VM

Добрый день, может кто подскажет. Какая будет примерная нагрузка на каналы связи (мб/сек) при нагрузке до 20000 событий в секунду?

источник

16:12пожаловаться #11

RS

Roman Sergeev in MaxPatrol SIEM & VM

Источники-Агент?
Агент-SIEM Server?
SIEM Server - Core?
SIEM Server - SIEM Storage?
в целом, можете ожидать примерно гигабит внутри сиема на актуальных версиях

источник

16:15пожаловаться #12

NC

Nikita Chirsky in MaxPatrol SIEM & VM

Roman Sergeev

Источники-Агент?
Агент-SIEM Server?
SIEM Server - Core?
SIEM Server - SIEM Storage?
в целом, можете ожидать примерно гигабит внутри сиема на актуальных версиях

Server

источник

16:16пожаловаться #13

RS

Roman Sergeev in MaxPatrol SIEM & VM

Nikita Chirsky

Server

Не очень понятно
Какая у вас конфигурация?

источник

16:17пожаловаться #14

NC

Nikita Chirsky in MaxPatrol SIEM & VM

Roman Sergeev

Не очень понятно
Какая у вас конфигурация?

конфигурация all in one

источник

16:22пожаловаться #15

NC

Nikita Chirsky in MaxPatrol SIEM & VM

Roman Sergeev

Источники-Агент?
Агент-SIEM Server?
SIEM Server - Core?
SIEM Server - SIEM Storage?
в целом, можете ожидать примерно гигабит внутри сиема на актуальных версиях

Спасибо за консультацию

источник

16:22пожаловаться #16

RS

Roman Sergeev in MaxPatrol SIEM & VM

агент на ядре?
Т.е. вас интересует трафик от источников до сервера?
20к на килобайтном событии (это неплохое приближение для смешанного трафика evenlog+syslog) даст вам 150 мегабит примерно

источник

16:23пожаловаться #17

m

max in MaxPatrol SIEM & VM

Nikita Chirsky

конфигурация all in one

AIO до 3к eps однако

источник

16:23пожаловаться #18

NC

Nikita Chirsky in MaxPatrol SIEM & VM

Roman Sergeev

агент на ядре?
Т.е. вас интересует трафик от источников до сервера?
20к на килобайтном событии (это неплохое приближение для смешанного трафика evenlog+syslog) даст вам 150 мегабит примерно

да на ядре. да от источников до сервера.

источник

16:26пожаловаться #19

NA

Nikolai Arefiev in MaxPatrol SIEM & VM

Из наших наблюдений: от источников до агента - зависит от источника, от агента до ядра и от ядра до сием сервера - под 800-900 Мб.с

источник

17:47пожаловаться #20