NA
При потоке 25-30К EPS гигабитных интерфейсов уже не хватает
Size: a a a
2021 January 22
NA
Либо 10G, либо агрегацию 1G линков собирать
RS
Вообще обычно от агентов до ядра в разы меньше, чем от источников до агентов. Там компрессия.
С SIEM на агенте другая ситуация, но это редкий кейс
С SIEM на агенте другая ситуация, но это редкий кейс
NA
Я привожу цифры распередленной инсталляции, без сием на агенте
NA
Внешний мониторинг, естественно, видит уже сжатый трафик, т.ч. все равно под 800-900 МБ.с
RS
трафик SIEM-Core в r24 будет радикально уменьшен
в гигабит упора больше не будет
мне потому крайне интересно, где вы видите огромный трафик с агентов на серверы
обычная картина мира выглядит скорее так
в гигабит упора больше не будет
мне потому крайне интересно, где вы видите огромный трафик с агентов на серверы
обычная картина мира выглядит скорее так
RS
modulehost - собирают с источников
agent - отсылает собранное на сервер
agent - отсылает собранное на сервер
NA
Общий трафик по серверу с агентом в студию ;)
RS
на типичных источниках (syslog, eventlog) сжатие очень эффективно
на специфике типа odbclog и других транспортов с бинарной сериализацией может быть похуже
на специфике типа odbclog и других транспортов с бинарной сериализацией может быть похуже
RS
Общий трафик по серверу с агентом в студию ;)
это с AIO, который под рукой
там по другому не посмотреть
там по другому не посмотреть
NA
Ну aio - понятно, там проблем нет. Вопрос был же про 20К eps... Или я криво прочел
RS
ещё раз
ты написал, что трафик с агента на сервер заметно выше трафика с источников на агент
это не соответствует моей картине мира
я поэтому пытаюсь понять
ты написал, что трафик с агента на сервер заметно выше трафика с источников на агент
это не соответствует моей картине мира
я поэтому пытаюсь понять
NA
С агента на сервер - 800-900 при 20-25К EPS на R22
NA
Ну вот такую картину вижу я. Может быть есть еще паразитный трафик, надо проверить. Ты заставил меня сомневаться ))))
VS
Хочу передать огромный привет людям из позитива, кто собирает оборудование. Вы, что там курите, ребята? Почему каждый монтаж оборудования проходит через жопу?
Ладно, отсутсвие винтиков от экрана на передней панели я ещё пойму, все бывает, но маппинг портов на дисковой полке? И это не только с сиемом :)))
Ладно, отсутсвие винтиков от экрана на передней панели я ещё пойму, все бывает, но маппинг портов на дисковой полке? И это не только с сиемом :)))
NA
Может просто большой проект в Голандию продали? Заказчик расплатился чем мог...
2021 January 23
S
Коллеги, приветствую.
уже прошла 2 неделя, как бьюсь над обновлением Siem с 21.1.3058 до 22.0.3280. все делаю по мануалу.
обновление проходит успешно, но до этапа обновления Elasticsearch 1.7.6 до 7.4.
обновление эластика делаю по мануалу присланной из ТП..после обновления по мануалу получаю ошибку. о нехватке свободного места на сервере siem. хотя места еще предостаточно.
в ТП уже отправил Терабайты логов. но результатов пока нет.
кто-нибудь встречался с подобным?
уже прошла 2 неделя, как бьюсь над обновлением Siem с 21.1.3058 до 22.0.3280. все делаю по мануалу.
обновление проходит успешно, но до этапа обновления Elasticsearch 1.7.6 до 7.4.
обновление эластика делаю по мануалу присланной из ТП..после обновления по мануалу получаю ошибку. о нехватке свободного места на сервере siem. хотя места еще предостаточно.
в ТП уже отправил Терабайты логов. но результатов пока нет.
кто-нибудь встречался с подобным?
S
Причем, после обновления эластика, перестает запускаться RabbitMQ на сервере SIEM (Debian)