DM
Всем привет, подскажите как можно изменить пути хранения логов core и agent ?
Size: a a a
2021 January 25
EM
есть способ, саппорт подскажет
EM
Denis Malgin
Всем привет, подскажите как можно изменить пути хранения логов core и agent ?
при установке задаются пути размещения данных и бинарей
EM
если продукт уже установлен, то простой способ создать ссылку на другой диск
S
Коллеги, подскажите, как остановить сервисы UCS и удалить его. по незнанию установил не туда. и изза него(скорей всего) очень быстро уменьшается место в корне "/" на debian.
2021 January 26
m
Sergey
Коллеги, подскажите, как остановить сервисы UCS и удалить его. по незнанию установил не туда. и изза него(скорей всего) очень быстро уменьшается место в корне "/" на debian.
Просто удалить соответствующий установленный пакет.
S
max
Просто удалить соответствующий установленный пакет.
salt-master, salt-minion ?
m
salt-minion используется, salt-master и salt-api - удалить
S
max
salt-minion используется, salt-master и salt-api - удалить
ок. спасибо
М_
Добрый день.
Написал правила нормализации для syslog источника, в SDK GUI тестовое сообщение обрабатывается нормально. После загрузки в SIEM правила отрабатывают нормально, но при этом "исчезают" события из 2 других источников syslog. В написанном правиле есть фильтрация событий с использованием COND, подскажите в какую сторону "копать" в плане поиска ошибки?
Написал правила нормализации для syslog источника, в SDK GUI тестовое сообщение обрабатывается нормально. После загрузки в SIEM правила отрабатывают нормально, но при этом "исчезают" события из 2 других источников syslog. В написанном правиле есть фильтрация событий с использованием COND, подскажите в какую сторону "копать" в плане поиска ошибки?
m
Михаил _
Добрый день.
Написал правила нормализации для syslog источника, в SDK GUI тестовое сообщение обрабатывается нормально. После загрузки в SIEM правила отрабатывают нормально, но при этом "исчезают" события из 2 других источников syslog. В написанном правиле есть фильтрация событий с использованием COND, подскажите в какую сторону "копать" в плане поиска ошибки?
Написал правила нормализации для syslog источника, в SDK GUI тестовое сообщение обрабатывается нормально. После загрузки в SIEM правила отрабатывают нормально, но при этом "исчезают" события из 2 других источников syslog. В написанном правиле есть фильтрация событий с использованием COND, подскажите в какую сторону "копать" в плане поиска ошибки?
COND в актуальных версиях корректно для TEXT сработает только если в TEXT полностью одинаковые строки.
М_
max
COND в актуальных версиях корректно для TEXT сработает только если в TEXT полностью одинаковые строки.
В правиле есть subformula для обработки JSON. Тогда каким образом можно разделить события по правилам?
MM
Михаил _
В правиле есть subformula для обработки JSON. Тогда каким образом можно разделить события по правилам?
Добрый день! В рассматриваемом событии до структуры JSON есть какой-нибудь «якорь» за который можно зацепиться в форматной строке?
Подобные типы событий необходимо разбирать именно таким способом - зацепляемся в форматной строке за какой-нибудь якорь в шапке сообщения (зачастую он есть, это например фиксированная аббревиатура источника), а только потом уже выцепляем JSON структуру и передаем ее в сабформулу. Если вы этот самый якорь не хардкодите в форматной строке, а разбираете токеном, то да, при наличии хотя бы одной такой формулы в инсталляции будет проблемой для событий такого же формата от других источников.
Подобные типы событий необходимо разбирать именно таким способом - зацепляемся в форматной строке за какой-нибудь якорь в шапке сообщения (зачастую он есть, это например фиксированная аббревиатура источника), а только потом уже выцепляем JSON структуру и передаем ее в сабформулу. Если вы этот самый якорь не хардкодите в форматной строке, а разбираете токеном, то да, при наличии хотя бы одной такой формулы в инсталляции будет проблемой для событий такого же формата от других источников.
М_
Добрый день! В рассматриваемом событии до структуры JSON есть какой-нибудь «якорь» за который можно зацепиться в форматной строке?
Подобные типы событий необходимо разбирать именно таким способом - зацепляемся в форматной строке за какой-нибудь якорь в шапке сообщения (зачастую он есть, это например фиксированная аббревиатура источника), а только потом уже выцепляем JSON структуру и передаем ее в сабформулу. Если вы этот самый якорь не хардкодите в форматной строке, а разбираете токеном, то да, при наличии хотя бы одной такой формулы в инсталляции будет проблемой для событий такого же формата от других источников.
Подобные типы событий необходимо разбирать именно таким способом - зацепляемся в форматной строке за какой-нибудь якорь в шапке сообщения (зачастую он есть, это например фиксированная аббревиатура источника), а только потом уже выцепляем JSON структуру и передаем ее в сабформулу. Если вы этот самый якорь не хардкодите в форматной строке, а разбираете токеном, то да, при наличии хотя бы одной такой формулы в инсталляции будет проблемой для событий такого же формата от других источников.
Да, якорь есть. Завтра попробую переделать правило, спасибо за идею.
2021 January 27
G
Всем доброе утро! Ребят просьба разъяснить назначение es, MongoDB и Postgre. Как я понимаю, es - это хранилка лишь событий, в монге хранятся пользователи, а постгре служит хранилищем для PTKB, прав ли я?
c
Монгу же выпилили (
Е
Монгу же выпилили (
тоже слышал, однако в оф. документации 23.1 имеются о ней упоминания
c
тоже слышал, однако в оф. документации 23.1 имеются о ней упоминания
Оопс, и правда есть
RS
Монгу выпиливали, выпиливали, да пока недовыпилили. В ней осталась половина инцидентов (write model)
В ES события и часть статистики по ним. Все остальное (не только PTKB) в постгресе
В ES события и часть статистики по ним. Все остальное (не только PTKB) в постгресе
c
Но пользователи вроде не в ней, а в постгре