Со стандартным профилем ViPNet_Administrator забирать события нельзя?

можно, но нужно чтобы события происходили на источнике после того как выполнится первый запрос

собственно, я это и спросил, неверно сформулировал

С SkipFirstQueryResult  в false событий все равно нет

а если сходить в базу через SQL Management Studio они там есть?

после изменения этой настрйоки сбрасывали состояние источника?
а елси вручную выполнить запрос из профиля - в нем даныне есть?

После изменения настройки остановил и запустил задачу

Надо состояние источников сбросить, коллега верно дополнил

Эта опция сбрасывает savepoint в задаче

[White Paper]
Как использовать статические и динамические группы активов в MaxPatrol SIEM

В MaxPatrol SIEM используется иерархическая структура групп активов со следующими типами групп:
- системные группы;
- пользовательские группы, которые могут быть динамическими или статическими.

В документе рассказываем, как использовать группировку активов в MaxPatrol SIEM, чтобы повысить эффективность процессов управления активами, событиями и инцидентами ИБ. Для этого описали 4 практических кейса использования групп активов и привели чек-лист действий для эффективной работы с ними.

Посмотреть документ: https://www.ptsecurity.com/upload/corporate/ru-ru/products/mpsiem/Static-and-dynamic-asset-groups-mp-siem-a4-rus-0001-01-jun-22-2021.pdf

Может в формате коротких видосов делать, или давать ссылки в доках, если по этой теме ролик уже был?

может быть, подумаем, спасибо)

Добрый вечер! Подскажите пожалуйста, как фильтровать события? Мне нужно указать в фильтре 15 учеток, пробовал делать через or и and. Не могу понять почему не работает. Благодарю.

subject.name in ["name1", "name2", "name3"]
?

Subject.name in [user1, user2]

А что не работает с or? Как пишите?

Пишу subject.name ["us1" Or "us2"] и не получается

Завтра попробую через запятую. Спасибо за подсказку

Subject.name = “user1” or Subject.name = “user2”

Ну тогда уж subject.name = "XXX" or subject.name = "YYY"