Илья, вкладка "базы данных" не всегда доступна (например, если логин в систему редиректит на локалхост), посему было бы очень неплохо, если бы система более внятно сообщала о причинах отказа.

Посмотрели ещё раз лог. Описанная мной ситуация с обновлением - это “следующая” стадия. Там будет внятная ошибка, почему система занята. is Available это предварительная проверка доступности PTKB по сети. И тут достучаться до ptkb почему-то не получилось. Правильный путь сейчас - ручная настройка PTKB через утилиту mpxptkb (работает с параметрами аналогично mpxcore). Утилита доступна на любой машине с установленным PTKB. Нужно настроить параметр HostAddress (хост с ptkb) и по необходимости CoreAddress, IdentityServerAddress. Аналогичным образом нужно действовать, если система «занята» из-за того, что долго ставит обновления. Сообщения поправим, чтобы было понятно, как действовать. Если будут проблемы с ручной настройкой, пишите ;) Сорри за путаницу.

Коллеги, добрый день.
кто-нибудь парсил LEEF?

у меня проблема, скорее всего из-за спецсимвола вот тут (выделил жирным)
<12>1 2019-03-14T05:42:42.371Z ber-era-01 ERAServer 4788 - - \ufeffLEEF:1.0|ESET|

как заставить нормализатор это прожевать?

Добрый день, коллеги!
подскажите как настроить сбор событий с сервера SNS 8.2?

У SNS же БД MS SQL?

Да

Обращаемся к таблицам забираем данные... Или я путаю что-то? 🙈

Вообще, по настройке подключения источников есть подробный Reference Guide. Можно взять на партнерском портале

Там есть Secret net 7.6 и 7.7
а нас интересует именно Secret Net 8.2

И тут не понятно будет он это жевать - не будет

в 19.1 есть поддержка 8.4, как тут на днях обсуждали

а в гайде про это ни слова

поэтому интересует может у кого есть реальный опыт подключения

как можно узнать почему именно событие не было нормализовано?

Можно невозбранно тестить утилитой из CLI, подгоняя правило до тех пор, пока событие не нормализуется полностью

дело в том, что оно нормализуется

правда в гуе

А в индексе эластика параметр norm у события присутствует?