in subnet

ок, спасибо

На одном серваке смогут ужиться два siem agent?

(каждый кормит свой core)

Нет

Будут проблемы с вызовом функции, когфигурированием, инсталлером

Но если 2 виртуалки поднять...

Тогда нет проблем

в общем. как это работает: при правиле корреляции с timer учитывается не поле time события, а то, с какой очерёдностью зашли события в коррелятор. что произошло в вашем случае: скорее всего filemonitor стал собирать исторические данные, все события попали под фильтр правила и пришли по порядку. результат - фолзы. что делать: два варианта. 1 - делать детерминированную цепочку и использовать оператор within вместо timer 2- при сборе из файлов (так как приходит сразу пачка одинаковых событий) отключать сбор исторических данных или уменьшать период сбора (чтоб пачка событий из файла была меньше)

кажись не тот чат :)

Хоть какая-то жизнь ))

А есть ссылочка на торенты?)

Коллеги, при зарождении группы, если я не ошибаюсь, мелькала инфа, что можно коллективно создать актуальную документацию по платформе. Чтобы, например, сообщество вносило изменения и дополнения, а сотрудники PT аппрувили вот это всё.
Это совсем неудачная идея или можно придумать что-нибудь на этот счёт?)

Может это, лучше технических писателей вендору нанять?)

Слишком долго + ты не чувствуешь себя участником процесса :)

Срочно процент с продаж мне и готов начать писать сразу;)

Если в целом, то вендор должен быть заинтересован в развитии своего комьюнити.

Ввести багбаунти за ошибки в документации и по. Сразу найдется много желающих на пустом месте заработать.

Вендор видимо готовится к форуму раздавленных апельсинов.

позитив разорится на таком багбаунти))