Посмотри там.

Всем привет. Подскажите, плиз, по нормализации радиус сообщений Cisco:
- есть здоровенная строка из пар ключ=значение, разделенных между собой ","
- маленький кусочек этой строки содержит внутри себя атрибуты типа cisco-avpair вида:
  - cisco-av-pair=mdm-tlv=device-platform=win,
  - cisco-av-pair=mdm-tlv=device-mac=28-cd-c4-xx-xx-xx,
  - cisco-av-pair=mdm-tlv=device-platform-version=10.0.19042 ,
  - cisco-av-pair=mdm-tlv=device-public-mac=28-cd-c4-xx-xx-x,
  - cisco-av-pair=mdm-tlv=device-type=HP 250 G7 Notebook PC,
  - cisco-av-pair=mdm-tlv=ac-user-agent=AnyConnect Windows
Если использовать KEYVALUE токен для разбивки всего тела сообщения, то доступ к cisco-avpair полям будет по наибольшему совпадению? То есть ключом и значением будет, например:
$kv["cisco-av-pair=mdm-tlv=device-platform"] = "win"
так ?

Мне кажется, что разбиение пары будет с появлением первого знака-разделителя (в этом случае, знака "=")
скорее всего, получится $kv["cisco-av-pair"] = "mdm-tlv=device-platform=win"
и там скорее всего будет проблема, тк ключ у всех пар будет одинаковый, соответственно, парсер будет их перезаписывать

но я могу ошибаться, легче всего, конечно, прогнать это дело через SDK =)

Вот так можно. Удалить из строки значение "cisco-av-pair=mdm-tlv="

каспер блочил, и сием пришлось обновить

Подскажите пожалуйста как сбросить пароль от встроенной учётной записи administrator в сием?

админгайд
3.6. Смена пароля учетной записи Administrator с помощью
командной строки Microsoft Windows

Спасибо

странно, что новую версию siem не блочит -)

для чистоты эксперимента буду на другом арм тестить еще)

ок

Спасибо, идею понял.

Подскажите. Как правильно указать кодировку oem 866?

"encoding": "cp866"

Спасибо

Помогите. Как в правиле обогащения указать смотреть в 2 таблицы и если есть совпадение то выдавать определённое слово?

Знакомо)

а в чём сложность? я как-то не понимаю сходу