E
может я тормоз, но я так понял что коллеги спрашивали про поток от агента по UDP
Size: a a a
2021 June 02
К
Ну это если бы агент стоял в ЗК :)
E
ну тогда без внятного ТЗ результат ХЗ
2021 June 03
K
Добрый день, коллеги!
Подскажите, в чем может быть проблема при настройке windows event collector'а?
Используется HTTPS, сертификат подкинут, в состоянии подписки стоит зеленое "ОК", а в списке появились компьютеры, которые должны слать события. Но в конечном журнале событий так и нет.
В журнале ошибок ни на стороне коллектора, ни на стороне форвардера не вижу.
Подскажите, куда стоит посмотреть?
Подскажите, в чем может быть проблема при настройке windows event collector'а?
Используется HTTPS, сертификат подкинут, в состоянии подписки стоит зеленое "ОК", а в списке появились компьютеры, которые должны слать события. Но в конечном журнале событий так и нет.
В журнале ошибок ни на стороне коллектора, ни на стороне форвардера не вижу.
Подскажите, куда стоит посмотреть?
I
Привет всем.
Народ у кого есть правила корреляции для определения teamviewer и anydesk на сети?
Например по логам прокси
Народ у кого есть правила корреляции для определения teamviewer и anydesk на сети?
Например по логам прокси
K
так из коробки же правило есть вроде...
TeamViewer_connection_detect
TeamViewer_connection_detect
I
ммм, что то я упустил видимо
спасибо, сейчас посмотрю
спасибо, сейчас посмотрю
NT
У меня такое было, когда в подписку устанавливал сразу много журналов для сбора
Когда журналов в подписке сделал меньше 10, то начали события прилетать
Когда журналов в подписке сделал меньше 10, то начали события прилетать
K
Спасибо!
Правда сам пять мин назад дошел до этого)
Правда сам пять мин назад дошел до этого)
I
Помогите пожалуйста написать фильтр
есть object.path в котором ссылки, например
http://90.99.99.99/xxx/xxx
http://yandex.ru
мне нужно отфильтровать только те запросы в которых ссылается не на доменное имя а на ip
есть object.path в котором ссылки, например
http://90.99.99.99/xxx/xxx
http://yandex.ru
мне нужно отфильтровать только те запросы в которых ссылается не на доменное имя а на ip
M
match(object.path, “90.99.99.99”)?
I
не совсем правильно написал, отфильтровать любые ip
I
^(http|https)\:\/\/(([\d\.]{2,5}){3,8})
I
что то типо такого
SS
Добрый день.
После установки SIEM (23.0) более недели уже висит предупреждение:
Компонент инициализуется. От Core Notification Management.
В логах NotificationsManagement.log увидел что при старте не видит БД, поэтому решает ее создать:
SqlJobsStorageCreator - Starting to create SQL job storage with name 'MaxPatrol_Scheduler' in dataSourse = 'localhost\MaxPatrolXCore'
SqlJobsStorageCreator - Data sourse 'localhost\MaxPatrolXCore' doesn`t contains dataBase = 'MaxPatrol_Scheduler'. Database going to created.
А потом не может ее создать, так как такой файл есть уже:
Data could not be migrated: Cannot create file 'D:\ProgramData\Positive Technologies\Data\SQLServer\MSSQL11.MAXPATROLXCORE\MSSQL\DATA\MaxPatrol_Scheduler.mdf' because it already exists. Change the file path or the file name, and retry the operation. CREATE DATABASE failed. Some file names listed could not be created. Check related errors.. Retry in 00:00:05
Данный файл действительно есть, по времени создания - в моменту установки SIEM. Кто-нибудь сталкивался?
После установки SIEM (23.0) более недели уже висит предупреждение:
Компонент инициализуется. От Core Notification Management.
В логах NotificationsManagement.log увидел что при старте не видит БД, поэтому решает ее создать:
SqlJobsStorageCreator - Starting to create SQL job storage with name 'MaxPatrol_Scheduler' in dataSourse = 'localhost\MaxPatrolXCore'
SqlJobsStorageCreator - Data sourse 'localhost\MaxPatrolXCore' doesn`t contains dataBase = 'MaxPatrol_Scheduler'. Database going to created.
А потом не может ее создать, так как такой файл есть уже:
Data could not be migrated: Cannot create file 'D:\ProgramData\Positive Technologies\Data\SQLServer\MSSQL11.MAXPATROLXCORE\MSSQL\DATA\MaxPatrol_Scheduler.mdf' because it already exists. Change the file path or the file name, and retry the operation. CREATE DATABASE failed. Some file names listed could not be created. Check related errors.. Retry in 00:00:05
Данный файл действительно есть, по времени создания - в моменту установки SIEM. Кто-нибудь сталкивался?
G
G
Переслано от Andrey Egorov
если нажать эту кнопку, он выдаст список того, что хочет установить? или просто что то начнет устанавливать
G
Коллеги, кто подскажет. Я не видел такой кнопки ранее
i
переустановит всё, что должно быть установлено согласно статусу в базе данных в кб
i
рекомендуется забэкапить содержимое табличек, за исключением справочников и нажать