R
Как пример можно в штатной нормализации traffic_signature_info глянуть
Size: a a a
2021 February 25
ВР
спасибо
IY
Влад Ременчик
спасибо
у меня вот так получилось, без переменных и стриптов
#<924587> 2021-01-01T00:00:00.000Z 192.168.1.1 {user1="text1",password1="pass1",user2="text2",password2="pass2"}
TEXT = '<{NUMBER}>{time=DATETIME} {IPV4} {"{"$kv=KEYVALUE(",","=","\\"")}'
datafield1 = $kv['user1']
datafield2 = $kv['password1']
datafield3 = $kv['user2']
datafield4 = $kv['password2']
#<924587> 2021-01-01T00:00:00.000Z 192.168.1.1 {user1="text1",password1="pass1",user2="text2",password2="pass2"}
TEXT = '<{NUMBER}>{time=DATETIME} {IPV4} {"{"$kv=KEYVALUE(",","=","\\"")}'
datafield1 = $kv['user1']
datafield2 = $kv['password1']
datafield3 = $kv['user2']
datafield4 = $kv['password2']
IY
если я конечно правильно понял исходное событие
Nn
у меня вот так получилось, без переменных и стриптов
#<924587> 2021-01-01T00:00:00.000Z 192.168.1.1 {user1="text1",password1="pass1",user2="text2",password2="pass2"}
TEXT = '<{NUMBER}>{time=DATETIME} {IPV4} {"{"$kv=KEYVALUE(",","=","\\"")}'
datafield1 = $kv['user1']
datafield2 = $kv['password1']
datafield3 = $kv['user2']
datafield4 = $kv['password2']
#<924587> 2021-01-01T00:00:00.000Z 192.168.1.1 {user1="text1",password1="pass1",user2="text2",password2="pass2"}
TEXT = '<{NUMBER}>{time=DATETIME} {IPV4} {"{"$kv=KEYVALUE(",","=","\\"")}'
datafield1 = $kv['user1']
datafield2 = $kv['password1']
datafield3 = $kv['user2']
datafield4 = $kv['password2']
KEYVALUE(",","=","\\"") вот здесь мне кажется что-то не правильно
IY
KEYVALUE(",","=","\\"") вот здесь мне кажется что-то не правильно
🎅L
Коллеги, еще вопрос: у клиента запрещены скрипты, и использовать задачи сбора событий я не могу. Можно ли использовать Endpoint Monitor в таком случае?
IY
Коллеги, еще вопрос: у клиента запрещены скрипты, и использовать задачи сбора событий я не могу. Можно ли использовать Endpoint Monitor в таком случае?
а что собирать собираетесь?
IY
и Endpoint Monitor это не одно и тоже, что сбор
🎅L
тот же Audit провести
RS
Только как замену сисмона в пересекающемся наборе событий
RS
тот же Audit провести
Нет
🎅L
принял. Тогда чем Endpoint полезен?
RS
принял. Тогда чем Endpoint полезен?
В принципе, уже ничем. В 24 релизе его больше нет.
🎅L
вот и опа мне пришла откуда не ждал... ;( Спасибо!
RS
вот и опа мне пришла откуда не ждал... ;( Спасибо!
А вы пользуетесь?
c
Кто-то похоже прикупил endpoint зря )
🎅L
А вы пользуетесь?
ни разу не пользовался
RS
Кто-то похоже прикупил endpoint зря )
За 0 рублей 00 копеек
🎅L
Кто-то похоже прикупил endpoint зря )
это пилот заказчика