Z
match(datafield1,datafield2) ?
Size: a a a
2019 April 05
IY
нет, значения неизвестны. а имеется информация о планах на включение такого функционала?
ML
а если match?
к сожалению, пока так не выйдет. он будет искать событие, в котором два датафилда одинаковы.
Z
печаль беда
ML
нет, значения неизвестны. а имеется информация о планах на включение такого функционала?
я не располагаю подобной информацией. Пока только желанием, чтобы такое можно было делать)
Z
несговорчивый PDQL
Z
напиши в сапп
Z
Z
засыпать сап)
RS
нет, значения неизвестны. а имеется информация о планах на включение такого функционала?
В планах оно есть
IS
Коллеги, тоже сталкнулся с подобной проблемой
Задача была сделать отдельный инцидент при сработке "нового" правила корреляции(которое не срабатывало за последние две недели)
Было создано правило обогащение, и тс к этому правилу, правило записывает в список наименование и время сработавшего правила корреляции
Было создано правило корреляции, которое реагирует на другие срабатывающие правила корреляции и если такого нет в тс или время последней сработки больше 14 дней генерит дополнительное событие
Так вот средний лаг между сработкой первого правила(записи в тс) и прекращением генерации дополнительных событий 14 минут
Задача была сделать отдельный инцидент при сработке "нового" правила корреляции(которое не срабатывало за последние две недели)
Было создано правило обогащение, и тс к этому правилу, правило записывает в список наименование и время сработавшего правила корреляции
Было создано правило корреляции, которое реагирует на другие срабатывающие правила корреляции и если такого нет в тс или время последней сработки больше 14 дней генерит дополнительное событие
Так вот средний лаг между сработкой первого правила(записи в тс) и прекращением генерации дополнительных событий 14 минут
Коллеги, комментарии будут какие-нибудь или тикет завести?)
K
Коллеги, комментарии будут какие-нибудь или тикет завести?)
У меня после переноса работы с ТС в обогащение лаг с повторными срабатываниями пропал (либо время лага сократилось настолько, что не вышло задетектить).
Без обогащения время лага было ~5мин
Без обогащения время лага было ~5мин
К
Коллеги, комментарии будут какие-нибудь или тикет завести?)
от нас тикет уже есть
К
разработка в размышлениях) была по крайней мере
e
а то я тут запустил сбор исторических данных... грабли оказались детскими - организовали мне 8 часов ремонта эластика, в котором завелось 7.5к шард
Вы же, вроде, знаете, что индексы дневные...в чём косяк-то?
PX
Далее будет мини трансляция с Positive Security Day
К
Вы же, вроде, знаете, что индексы дневные...в чём косяк-то?
в эластике?) как-то не предполагал, что задача по историческим данным задаст такого шороху, при том, что данных-то по сути было немного и бэкэнд никак не должен был (на мой взгляд) встать и выйти
e
в эластике?) как-то не предполагал, что задача по историческим данным задаст такого шороху, при том, что данных-то по сути было немного и бэкэнд никак не должен был (на мой взгляд) встать и выйти
Собирали, наверное, какой-нибудь журнал System винды или что-то прикладное, за время >1год. => куча новых "исторических" индексов => куча шардов.