K
3 ноды? разве минимум не 2хDATA 1xCLIENT 1xMASTER?
Size: a a a
2019 April 11
Z
3 ноды? разве минимум не 2хDATA 1xCLIENT 1xMASTER?
мастер пропустил ага. 2 даты по 27 гб , клиент1 10 гб
Z
Товарищ Нолик, скажите пожалуйста, что у вас подключено как источники событий?
привет, AD + 1 watchguard + IDS + 1 cisco asa
Z
это я логи с хостов не собираю, не через колектор не на прямую.
ML
сколько машин в домене и сколько за ASA? профили сбора тюнили под себя? или дефолтными собираете?
Z
сколько машин в домене и сколько за ASA? профили сбора тюнили под себя? или дефолтными собираете?
дефолт по всей видимости, 5к машин
ML
тогда на самом деле событий должно быть гораздо больше. С одной ASA сыпется куда больше, она же логирует каждое соединения, с 5к машин их должно быть больше 800. с одной только ASA
Z
тогда на самом деле событий должно быть гораздо больше. С одной ASA сыпется куда больше, она же логирует каждое соединения, с 5к машин их должно быть больше 800. с одной только ASA
у нас немного не так, часть коннектов идут через fw. большая часть
Z
из fw подключен только один, остальные в планах (когда сием научится жевать их события по сислогу)
ML
попробуйте глянуть RabbitMQ, там можете посмотреть куда накапливается очередь и из-за чего сием может захлебываться
Z
событий реально мало, нагрузка реально большая. в суппорт писать сейчас особого смысла не вижу. 2 тикета по обоим пока не понятно
Z
попробуйте глянуть RabbitMQ, там можете посмотреть куда накапливается очередь и из-за чего сием может захлебываться
ооокей, там есть хистори? просто сейчас он события пережевал после ребута events storage server
ML
кролик показывает текущую очередь и нагрузку на компоненты
Z
кролик показывает текущую очередь и нагрузку на компоненты
ага вижу,с пасибо
ML
ага вижу,с пасибо
Если жрет много ресурсов при небольшом поступлении событий, смотрите по нагрузке на службы. Может кореляшки какие-то много сжирают из-за неоптимального кода
Z
Если жрет много ресурсов при небольшом поступлении событий, смотрите по нагрузке на службы. Может кореляшки какие-то много сжирают из-за неоптимального кода
вырубил почти все кореляции сейчас
Z
оставил то что прям критичное
Z
гиг свободной озу из 128....
Z
в кролике вообще свободно....что на сервере сиема что на коре
ML
во всех?