NK
так тоже не заработало
Size: a a a
2019 March 28
2019 March 29
IY
ID:793544149
так тоже не заработало
TEXT="{datafield1=UNTIL(';')}{WORD}:{datafield2=STRING}"
m
TEXT="{datafield1=UNTIL(';')}{WORD}:{datafield2=STRING}"
Не надо так делать - слишком большая вероятность, что под эту формулу начнут попадать события из совсем других источников.
IY
max
Не надо так делать - слишком большая вероятность, что под эту формулу начнут попадать события из совсем других источников.
ну тогда и UNTIL тут не подходит, очевидно что Test SIEM это вендор/источник в данном случае
IY
TEXT="Test SIEM;{$kv = KEYVALUE(' ',':')}"
datafield2 = $kv['userId']
datafield2 = $kv['userId']
IY
или так:
TEXT="Test SIEM;{WORD}:{datafield2=STRING}"
TEXT="Test SIEM;{WORD}:{datafield2=STRING}"
m
ну тогда и UNTIL тут не подходит, очевидно что Test SIEM это вендор/источник в данном случае
Я могу это только предполагать, поэтому и предложил сразу оставить все константные значнеия именно в виде констант. Про UNTIL написал для иллюстрации возможности получить данные начиная с текущей позиции и до заданного маркера.
IY
max
Я могу это только предполагать, поэтому и предложил сразу оставить все константные значнеия именно в виде констант. Про UNTIL написал для иллюстрации возможности получить данные начиная с текущей позиции и до заданного маркера.
да, полезный токен, согласен.
у него проблема все-таки с тем, что он использует STRING+ в начале формулы, всё событие закрывается этим токеном, поэтому что он там дальше пишет и вызывает ошибки.
если брать его исходную формулу, то надо делать скорее так:
TEXT="{WORD+};userId:{datafield1=STRING}"
у него проблема все-таки с тем, что он использует STRING+ в начале формулы, всё событие закрывается этим токеном, поэтому что он там дальше пишет и вызывает ошибки.
если брать его исходную формулу, то надо делать скорее так:
TEXT="{WORD+};userId:{datafield1=STRING}"
HN
А если нет такой возможности по какой-либо из причин?
дезинформировал вас. один агент(не задача) будет обслуживать 100 узлов для модуля wineventlog.
A
дезинформировал вас. один агент(не задача) будет обслуживать 100 узлов для модуля wineventlog.
А это ограничение где-то прописано официально, чтоб на него сослаться, или best practice по запросу?
HN
Best practice по объему. Параметр настраивается, но увеличение может негативно сказаться на производительности
K
коллеги, подскажите пожалуйста, почему может некорректно отрабатывать правило корреляции? (во вложении)
Как задумано: при возникновении события "Test_event" генерируется инцидент и в табличный список "Table_test" записываются IP и имя пользователя из события. При повторном возникновении события "Test_event" с теми же данными коррелятор находит запись в списке и не генерирует инцидент.
Как работает: инциденты генерируются на каждое событие "Test_event"...
Запись в списке каждый раз обновляется.
Подскажите, в чем может быть причина? Заранее огромное спасибо!
Как задумано: при возникновении события "Test_event" генерируется инцидент и в табличный список "Table_test" записываются IP и имя пользователя из события. При повторном возникновении события "Test_event" с теми же данными коррелятор находит запись в списке и не генерирует инцидент.
Как работает: инциденты генерируются на каждое событие "Test_event"...
Запись в списке каждый раз обновляется.
Подскажите, в чем может быть причина? Заранее огромное спасибо!
RS
Сборка какая?
K
19.1.2605
RS
Имена учёток не в смешанном регистре случайно?
K
да...
K
это влияет?
K
в смысле от события к событию регистр идентичный
RS
Попробуйте везде lower сделать
RS
При сравнении и вставке