A
для больших объёмов источников логов будет лучше настроить WEC
А если нет такой возможности по какой-либо из причин?
Size: a a a
2019 March 27
D
ну, значит ждем в следующих релизах
Заведите реквест через техподдержку, пожалуйста.
HN
А если нет такой возможности по какой-либо из причин?
несколько задач. ограничение в 100 узлов
HN
но разбираться потом в этом будет крайне тяжело
IY
собираюсь писать тикет, но вдруг кто-то сталкивался:
1. в задаче аудита двух Linux-серверов (С-Терра Шлюз) указаны два ip-адреса по которому эти устройства доступны по SSH
2. задача запускается, через какое-то время завершается без ошибок
По какой-то причине результаты аудита сохраняются в одном и том же активе, т.е. сначала появляется актив со свойствами сервера №1, затем информация в нем изменяется на свойства сервера №2.
Если проводить аудит одновременно в разных задачах или одной задачей, меняя цель сканирования, результат тот же самый.
Куда копать?
1. в задаче аудита двух Linux-серверов (С-Терра Шлюз) указаны два ip-адреса по которому эти устройства доступны по SSH
2. задача запускается, через какое-то время завершается без ошибок
По какой-то причине результаты аудита сохраняются в одном и том же активе, т.е. сначала появляется актив со свойствами сервера №1, затем информация в нем изменяется на свойства сервера №2.
Если проводить аудит одновременно в разных задачах или одной задачей, меняя цель сканирования, результат тот же самый.
Куда копать?
m
а что у них с mac, hostname и systemid?
IY
max
а что у них с mac, hostname и systemid?
совпадает systemid
m
совпадает systemid
есть возможность поменять?
D
собираюсь писать тикет, но вдруг кто-то сталкивался:
1. в задаче аудита двух Linux-серверов (С-Терра Шлюз) указаны два ip-адреса по которому эти устройства доступны по SSH
2. задача запускается, через какое-то время завершается без ошибок
По какой-то причине результаты аудита сохраняются в одном и том же активе, т.е. сначала появляется актив со свойствами сервера №1, затем информация в нем изменяется на свойства сервера №2.
Если проводить аудит одновременно в разных задачах или одной задачей, меняя цель сканирования, результат тот же самый.
Куда копать?
1. в задаче аудита двух Linux-серверов (С-Терра Шлюз) указаны два ip-адреса по которому эти устройства доступны по SSH
2. задача запускается, через какое-то время завершается без ошибок
По какой-то причине результаты аудита сохраняются в одном и том же активе, т.е. сначала появляется актив со свойствами сервера №1, затем информация в нем изменяется на свойства сервера №2.
Если проводить аудит одновременно в разных задачах или одной задачей, меняя цель сканирования, результат тот же самый.
Куда копать?
лучше тикет, с логами сканирования и результатами
m
Если поможет и если действительно на всех шлюзах совпадает - лучше тогда и тикет в техподдержке PT завести.
Хотя тикет с примерами сканов в любом случае стоит завести.
Хотя тикет с примерами сканов в любом случае стоит завести.
IY
max
Если поможет и если действительно на всех шлюзах совпадает - лучше тогда и тикет в техподдержке PT завести.
Хотя тикет с примерами сканов в любом случае стоит завести.
Хотя тикет с примерами сканов в любом случае стоит завести.
Для тикета все готово, сделаю. Просто решение нужно оперативно.
По воркэраунду со сменой systemid завтра отпишусь
По воркэраунду со сменой systemid завтра отпишусь
2019 March 28
IY
Информация по вчерашнему вопросу с С-Терра:
Проблема касается не только шлюзов С-Терра, но и всех Linux-систем. В качестве systemID SIEM принимает значение UUID диска, смонтированного в /.
Скрипт аудита выполняет ls -l /dev/disk/by-uuid (а также blkid) и присваивает полученное значение полю systemID. Проблема заключается в следующем - если корневой раздел был скопирован утилитой dd или это виртуальная машина и она была склонирована, то uuid будет везде одинаков, что и вызывает описанную мной ситуацию.
Для файловых систем ext решение следующее (перезагрузка не требуется):
tune2fs -U random /dev/<disk>
Мне кажется, логичнее было бы использовать в качестве systemID uuid, находящийся в /etc/machine-id.
Проблема касается не только шлюзов С-Терра, но и всех Linux-систем. В качестве systemID SIEM принимает значение UUID диска, смонтированного в /.
Скрипт аудита выполняет ls -l /dev/disk/by-uuid (а также blkid) и присваивает полученное значение полю systemID. Проблема заключается в следующем - если корневой раздел был скопирован утилитой dd или это виртуальная машина и она была склонирована, то uuid будет везде одинаков, что и вызывает описанную мной ситуацию.
Для файловых систем ext решение следующее (перезагрузка не требуется):
tune2fs -U random /dev/<disk>
Мне кажется, логичнее было бы использовать в качестве systemID uuid, находящийся в /etc/machine-id.
m
И что будет в machine-id, если системный раздел скопировали/склонировали?
IY
max
И что будет в machine-id, если системный раздел скопировали/склонировали?
да, будет также склонировано. но все-таки параметр machine-id более логично использовать в качестве systemid, нежели uuid диска
IY
кроме того, мне кажется, изменение uuid диска, в каком-то случае, все-таки может привести к проблемам с файловой системой, а вот изменение machine-id врядли на что-то влияет
MI
И 'tune2fs -U random', и 'xfs_admin -U generate' требуют размонтирования
MI
Да и fstab, насколько я помню, не правят
MI
Переслано от M IV
/etc/machine-id - чисто systemd-шная шняга, причем если верить man 5, она не сразу пришла к виду uuid
MI
MI