6
в обоих событиях они одинаковые
Есть у меня плохое подозрение что uuid у сиема подвязан на таймштамп
Size: a a a
2019 October 15
6
И если да, то его дубликат возможен
6
Грепани по собаке настройки сислог демона
6
Мож реально mail дважды шлется
6
Один раз по явному фасилити в пассом, а второй скажем на *.*
Z
ооокей
RS
в обоих событиях они одинаковые
Версия сиема и агента?
Z
Версия сиема и агента?
19.1
6
ооокей
Ну и последнее - если это постояено происходит, то tcpdump мож запустить и глянуть на дубликат?
RS
Ну и последнее - если это постояено происходит, то tcpdump мож запустить и глянуть на дубликат?
Я думаю, что если там на самом деле 2 одинаковых uuid, то можно в сторону источника не смотреть особо пока что
6
Просто сием дважды нормализовать не может по логике работы и значит в очереди две записи - либо на агент прмшли дубликаты либо там очередь плющит на агенте (что менее вероятно)
K
Просто сием дважды нормализовать не может по логике работы и значит в очереди две записи - либо на агент прмшли дубликаты либо там очередь плющит на агенте (что менее вероятно)
но если бы два события с источника приходили, то разве не были бы разными uuid?
RS
19.1
Было бы здорово взглянуть на количество RAW по этому uuid
Z
все события по 2 с антиспама
RS
все события по 2 с антиспама
Ты в индекс смотрел эластиковский?
Z
Ты в индекс смотрел эластиковский?
в личку пишу)
6
но если бы два события с источника приходили, то разве не были бы разными uuid?
Если uuid привязан к таймштампу последними блоками и перехват примерно в одно и тоже время - будет и дубль по этому
6
все события по 2 с антиспама
Tcpdump глянь на этот источник по syslog
Z
Tcpdump глянь на этот источник по syslog
ща ваершаркну его)