19.0 и старше версии.
Раздел 10.1 код безопасности secret net 7.6  ...
В разделе идёт рекомендация  настроить ms sql на порт 49185. Данная настройка  гарантированно сломает распределенную инсталяцию secret net, когда база и сервер sn находятся на разных серверах.
Если пишите так, то лучше добавляйте, что пример настройки.
Аналогичная проблема может возникнуть при настройке ksc - раздел 10.23

19_refguide_ru 4.16.3 надо разобраться с запуском баш скрипта (в случае если на сервере добавляются пользователи или удаляются)

документа нет.
работает он просто) компонент ptdpi слушает и разбирает трафик посредством span-порта, модуль агента network-sensor забирает разобранную информацию о трафике, нормализует и отправляет в siem....
Настраивать, стоит параметр document_types, для ограничения типов событий..

В админгайде по 19.1 - нет описания формулы вычисления требований к аппаратному обеспечению для разных типов инсталляции сторейджа - вызывает проблемы с установкой хайлоуд, когда ставится две ноды ластика, которые требуют вдвое больше памяти, чем указано в конфигурации

пробел 4.16.3.15

Господа, в мануале написано про настройку файла /etc/audit/audit.rules, после перезапуска службы auditd - файл очищается. нужно изначально производить настройку в /etc/audit/rules.d/audit.rules

иначе можно всё настроить до первого ребута

Стр 120, девелопмент гайд, пример, текст нормализованного события: вместо $datafield1 должно быть datafield1

Пользователь с UID 0 создал или удалил файл /usr/bin/python на узле 10.10.253.25

толи создал, толи удалил, а на самом деле просто запустил

Господин Сачков просил сюда перекинуть)

Добрый день

А можешь прислать оригинал события. По ччт сложно найти

сек

с tcpdump ок,

?

Да не там в самом сиеме есть кнопка "исходное сообщение"

{
 "historical": false,
 "mime": "text/plain",
 "corrections": {
   "time_zone": 0,
   "time_delta": 0
 },
 "tag": "syslog",
 "site_id": "00000000-0000-0000-0000-000000000000",
 "input_id": "5b3ede1b-e5e8-470f-8fd7-abe170d03614",
 "agent_id": "ffe4f7e4-838b-4daa-8a87-43eb90e0408e",
 "recv_time": "/Date(1542177311000)/",
 "uuid": "00000005-bebc-021f-f000-0765e14d1d10",
 "type": "raw",
 "body": "<14> Nov 14 11:36:16 10.10.253.25 audispd:  node=TST_logclient type=PATH msg=audit(1542177376.427:1631): item=0 name=\"/usr/bin/python\" inode=25188280 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 objtype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0",
 "recv_ipv4": "10.10.253.23",
 "task_id": "3f8e82c9-1240-49c9-890e-86b9c02defb2",
 "job_id": "101d4de1-1dc0-0001-0000-000000000003",
 "tenant_id": "00000000-0000-0000-0000-000000000004",
 "normalized": true,
 "scope_id": "00000000-0000-0000-0000-000000000005"
}

а я всего лишь выполнил команду python -v

+ после каждой команды получаю: Пользователь с UID 0 создал или удалил файл /lib64/ld-linux-x86-64.so.2 на узле 10.10.253.25