ДП
Я собрал лог, среди всех событий появилось изначально 72, а потом продолжили расти
и все эти множественные инциденты связаны с этими алертами? или с какими-то другими?
количество алертов не растёт у вас?
какой релиз?
Size: a a a
2021 July 19
ДП
Только с этими связаны, количество алертов не растет, растет только количество инцидентов, релиз 23
RS
Выглядит как баг. Попробуйте рестартовать сервисы инцидентов.
А в кролике надо бы посмотреть очередь нотификаций.
Дополнительно неплохо бы понять, как вы работаете в корреляции с заполнением полей инцидента. По идее, это не может давать описанного эффекта никаким образом, но всё равно интересно
А в кролике надо бы посмотреть очередь нотификаций.
Дополнительно неплохо бы понять, как вы работаете в корреляции с заполнением полей инцидента. По идее, это не может давать описанного эффекта никаким образом, но всё равно интересно
ДП
Где хранятся инциденты, чтобы очистить их?
АД
Добрый день. Где можно увидеть список версий 23.0.ХХХХ ?
M
На саппорте когда Тикет заводишь)
Там она одна - 23.0.3539
Там она одна - 23.0.3539
АД
спасибо
RS
в принципе, были и более ранние версии, но эта последняя публичная и она же является сертифицированной
RS
не надо ничего чистить в базах напрямую
сломаете
удаляйте через интерфейс
сломаете
удаляйте через интерфейс
ДП
Спасибо большое! Через интерфейс и удалял, просто поток шел инцидентов, не получалось удалить всё и да по всей видимости это был баг, потому что сейчас стало все нормально
RS
а что вы сделали то, что оно прекратилось?
рестартовали сервис?
рестартовали сервис?
ДП
Как одно из, по новой загружал правило в siem и сделал сбор логов
2021 July 20
S
Коллеги, добрый день! Поделитесь опытом, кто какие учетные записи (с какими привилегиями) использует в МР агенте для аудита ОС от MS? Есть "теория", что это возможно только под учеткой админа локального или AD. Или же возможна "тонкая" настройка?
А
Всем добрый день. Не могу установить UCS сервер на виртуалку (Debian 10). Скрипт установки стартует, далее при выборе любого пункта (Basic/Advanced) завершается с ошибкой:
root@UCS:/home/iridis/siem-ucs-debian10-24.0.3586# ./install.sh
Debian version = 10.10
/home/iridis/siem-ucs-debian10-24.0.3586 /home/iridis/siem-ucs-debian10-24.0.3586
Your chosen option: Basic
Traceback (most recent call last):
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/run_wizard.py", line 8, in <module>
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/package_wizard/__init__.py", line 159, in run
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/apNPSApplication.py", line 30, in run
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/npyssafewrapper.py", line 41, in wrapper
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/npyssafewrapper.py", line 83, in wrapper_no_fork
File "/usr/lib/python3.5/curses/__init__.py", line 30, in initscr
_curses.error: setupterm: could not find terminal
[9314] Failed to execute script run_wizard
Trying to read config '/home/iridis/siem-ucs-debian10-24.0.3586/wizard-params.yaml'
Trying to read config '/etc/opt/siem/salt-minion-settings/params.default.yaml'
Cannot find config at '/etc/opt/siem/salt-minion-settings/params.default.yaml'
Trying to read config '/etc/opt/ucs/ucs-pt/params.default.yaml'
Cannot find config at '/etc/opt/ucs/ucs-pt/params.default.yaml'
Trying to read config '/etc/opt/siem/salt-minion-settings/params.yaml'
Cannot find config at '/etc/opt/siem/salt-minion-settings/params.yaml'
Trying to read config '/etc/opt/ucs/ucs-pt/params.yaml'
Cannot find config at '/etc/opt/ucs/ucs-pt/params.yaml'
/install.sh
Debian version = 10.10
/home/iridis/siem-ucs-debian10-24.0.3586 /home/iridis/siem-ucs-debian10-24.0.3586
Your chosen option: Basic
Traceback (most recent call last):
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/run_wizard.py", line 8, in <module>
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/package_wizard/__init__.py", line 159, in run
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/apNPSApplication.py", line 30, in run
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/npyssafewrapper.py", line 41, in wrapper
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/npyssafewrapper.py", line 83, in wrapper_no_fork
File "/usr/lib/python3.5/curses/__init__.py", line 30, in initscr
_curses.error: setupterm: could not find terminal
[9314] Failed to execute script run_wizard
Trying to read config '/home/iridis/siem-ucs-debian10-24.0.3586/wizard-params.yaml'
Trying to read config '/etc/opt/siem/salt-minion-settings/params.default.yaml'
Cannot find config at '/etc/opt/siem/salt-minion-settings/params.default.yaml'
Trying to read config '/etc/opt/ucs/ucs-pt/params.default.yaml'
Cannot find config at '/etc/opt/ucs/ucs-pt/params.default.yaml'
Trying to read config '/etc/opt/siem/salt-minion-settings/params.yaml'
Cannot find config at '/etc/opt/siem/salt-minion-settings/params.yaml'
Trying to read config '/etc/opt/ucs/ucs-pt/params.yaml'
Cannot find config at '/etc/opt/ucs/ucs-pt/params.yaml'
Посоветуйте, что проверить/исправить?
root@UCS:/home/iridis/siem-ucs-debian10-24.0.3586# ./install.sh
Debian version = 10.10
/home/iridis/siem-ucs-debian10-24.0.3586 /home/iridis/siem-ucs-debian10-24.0.3586
Your chosen option: Basic
Traceback (most recent call last):
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/run_wizard.py", line 8, in <module>
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/package_wizard/__init__.py", line 159, in run
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/apNPSApplication.py", line 30, in run
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/npyssafewrapper.py", line 41, in wrapper
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/npyssafewrapper.py", line 83, in wrapper_no_fork
File "/usr/lib/python3.5/curses/__init__.py", line 30, in initscr
_curses.error: setupterm: could not find terminal
[9314] Failed to execute script run_wizard
Trying to read config '/home/iridis/siem-ucs-debian10-24.0.3586/wizard-params.yaml'
Trying to read config '/etc/opt/siem/salt-minion-settings/params.default.yaml'
Cannot find config at '/etc/opt/siem/salt-minion-settings/params.default.yaml'
Trying to read config '/etc/opt/ucs/ucs-pt/params.default.yaml'
Cannot find config at '/etc/opt/ucs/ucs-pt/params.default.yaml'
Trying to read config '/etc/opt/siem/salt-minion-settings/params.yaml'
Cannot find config at '/etc/opt/siem/salt-minion-settings/params.yaml'
Trying to read config '/etc/opt/ucs/ucs-pt/params.yaml'
Cannot find config at '/etc/opt/ucs/ucs-pt/params.yaml'
/install.sh
Debian version = 10.10
/home/iridis/siem-ucs-debian10-24.0.3586 /home/iridis/siem-ucs-debian10-24.0.3586
Your chosen option: Basic
Traceback (most recent call last):
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/run_wizard.py", line 8, in <module>
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/package_wizard/__init__.py", line 159, in run
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/apNPSApplication.py", line 30, in run
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/npyssafewrapper.py", line 41, in wrapper
File "/home/gitlab-runner/disk/builds/d2ioTwv4/0/ScmDev/scm.salt-package-wizard/npyscreen/npyssafewrapper.py", line 83, in wrapper_no_fork
File "/usr/lib/python3.5/curses/__init__.py", line 30, in initscr
_curses.error: setupterm: could not find terminal
[9314] Failed to execute script run_wizard
Trying to read config '/home/iridis/siem-ucs-debian10-24.0.3586/wizard-params.yaml'
Trying to read config '/etc/opt/siem/salt-minion-settings/params.default.yaml'
Cannot find config at '/etc/opt/siem/salt-minion-settings/params.default.yaml'
Trying to read config '/etc/opt/ucs/ucs-pt/params.default.yaml'
Cannot find config at '/etc/opt/ucs/ucs-pt/params.default.yaml'
Trying to read config '/etc/opt/siem/salt-minion-settings/params.yaml'
Cannot find config at '/etc/opt/siem/salt-minion-settings/params.yaml'
Trying to read config '/etc/opt/ucs/ucs-pt/params.yaml'
Cannot find config at '/etc/opt/ucs/ucs-pt/params.yaml'
Посоветуйте, что проверить/исправить?
m
1 - export TERM=xterm
2 - используйте актуальную версию для новых инсталляций. Сейчас это 24.0.3942
2 - используйте актуальную версию для новых инсталляций. Сейчас это 24.0.3942
А
Ура! Спасибо, помогло. Ссылку на актуальную версию можно?
m
Ссылку лучше запросить через техподдержку или через инженера ПТ, который Вашим проектом занимается.
Л
Тогда уже лучше сразу ссылки на все дистрибутивы просить, чтобы сборка одинаковая была)
А
ok. еще раз спасибо!