аааа, т.е. нельзя еще раз их пропустить в нормализатор?

нет, ретронормализации нет.

жаль =( понял, спасибо!

штатными средствами нет.
Самое простое - еще раз получить если есть такая возможность

Или сделать экспорт и пульнуть в сторону SIEM питоновским скриптом)

не забыв поменять uuid как минимум. Ну и получив 2 копии события

Создавать задачи можно.

но какой с них толк, елси запустить без лицензии - нельзя?

Когда появится всё будет настроено, останется только запустить

а что это за ошибка?  Произошла неустранимая ошибка: Status ERROR_INVALID_PARAMETER got from NetUseAdd(), server '\\192.168.0.105\IPC$', error code = 5. Пожалуйста, обратитесь в службу технической поддержки.

Коллеги, добрый день.
После внезапного отключения сервака, не могут стартануть сервисы сиема, подскажите в чем может быть проблема и как её решить ?

Looks like you have a corrupted fpta

посмотрите статусы баз

/opt/mpxsiem/fpta/mdbx_chk -nvv /opt/mpxsiem/fpta/fpta_enricher.db
/opt/mpxsiem/fpta/mdbx_chk -nvv /opt/mpxsiem/fpta/fpta_db.db
/opt/mpxsiem/fpta/mdbx_chk -nvv /opt/mpxsiem/fpta/core_db.db

Для восстановления работоспособности данных служб необходимо ввести следующие команды:

/opt/mpxsiem/fpta/mdbx_chk -0 -nvv /opt/mpxsiem/fpta/fpta_enricher.db
/opt/mpxsiem/fpta/mdbx_chk -1 -nvv /opt/mpxsiem/fpta/fpta_enricher.db
/opt/mpxsiem/fpta/mdbx_chk -2 -nvv /opt/mpxsiem/fpta/fpta_enricher.db

Если какая-то из них вернёт "No error is detected" в конце, то
добавьте -t -w, например, если вариант с "0" не вернул ошибок,
/opt/mpxsiem/fpta/mdbx_chk -0 -t -w -nvv /opt/mpxsiem/fpta/fpta_enricher.db

По такой же схеме необходимо ввести команды с базой fpta_db.db
/opt/mpxsiem/fpta/mdbx_chk -0 -nvv /opt/mpxsiem/fpta/fpta_db.db
/opt/mpxsiem/fpta/mdbx_chk -1 -nvv /opt/mpxsiem/fpta/fpta_db.db
/opt/mpxsiem/fpta/mdbx_chk -2 -nvv /opt/mpxsiem/fpta/fpta_db.db

Если какая-то из них вернёт "No error is detected" в конце, то
добавьте -t -w, например, если вариант с "0" не вернул ошибок,
/opt/mpxsiem/fpta/mdbx_chk -0 -t -w -nvv /opt/mpxsiem/fpta/fpta_db.db

После этого следует проверить статус служб correlator, enricher, router, если службы не запустились самостоятельно, попробовать запустить их вручную.

Нет.
Нужно выбрать метастраницу с минимальным лагом, а не первую подходящую
И остановить commander, router, enricher, correlator до начала действий по восстановлению.

Ну и хорошо бы сделать бакап бд.

а что значит эта запись из сводки?  После ВинАудита:?  Не удалось выполнить сценарий ds.soft.microsoft.hyper_v.VirtualMachine#ds.soft.microsoft.hyper_v.virtual_machine: The response from the origin contains not one row: ds.soft.microsoft.hyper_v.GetVMInfo(Data=None) ds.soft.microsoft.hyper_v.GetVMInfo(Data='\ufeffpowershell.exe : Import-Module : Указанный модуль "Hyper-V" не был загружен, так как ни в одном из\n каталогов модуле\nстрока:1 знак:82\n+ ... 02701.ps1 | powershell.exe -nop -noni - 2> C:\\Windows\\TEMP\\1292e0e799 ...\n+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\n + CategoryInfo : NotSpecified: (Import-Module :...аталогов модуле:String) [], Remote \n Exception\n + FullyQualifiedErrorId : NativeCommandError\n \nй не был обнаружен действительный файл модуля.\nстрока:2 знак:39\n+ if (-NOT (Get-Module -Name Hyper-V)) {Import-Module -Name Hyper-V}\n\n+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~\n\n + CategoryInfo : ResourceUnavailable: (Hyper-V:String) [Import-Module], FileNotFound \n\n Exception\n\n + FullyQualifiedErrorId : Modules_ModuleNotFound,Microsoft.PowerShell.Commands.ImportModuleCo \n\n mmand\n\n \n\nGet-VM : Имя "Get-VM" не распознано как имя командлета, функции, файла сценария или выполняемой пр\n\nограммы. Проверьте правильность написания имени, а также наличие и правильность пути, после чего п\n\nовторите попытку.\n\nстрока:3 знак:16\n\n+ ForEach($vm in Get-VM) {\n\n+ ~~~~~~\n\n + CategoryInfo : ObjectNotFound: (Get-VM:String) [], CommandNotFoundException\n\n + FullyQualifiedErrorId : CommandNotFoundException\n\n \n\n').

Кажется, это заклинание призыва демона.