ММ
фильтры типа полных сравнений по полям src.ip, subject.name и тому подобных работали, вот регулярки по datafieldам нет, ну там причина другая была))
Size: a a a
2019 November 07
RS
полтора терабайта записанных данных в сутки? риалли?
А что удивляет то?
К
А что удивляет то?
то, что позитивный сием столько событий не прожует) по крайней мере в "высоконагруженной" конфигурации. впрочем, другие сиемы прожуют... у некоторых даже проблем с поиском не будет.
RS
то, что позитивный сием столько событий не прожует) по крайней мере в "высоконагруженной" конфигурации. впрочем, другие сиемы прожуют... у некоторых даже проблем с поиском не будет.
Прожуёт)) Терабайт в сутки прожевывался пару лет назад уже. Про железо, впрочем, не могу сказать
К
Прожуёт)) Терабайт в сутки прожевывался пару лет назад уже. Про железо, впрочем, не могу сказать
да как-то ни хрена) если не рассматривать не поддерживаемые официально решения вроде кластеризации средствами ластика на несколько серверов
ММ
терабайт сырых данных при нормальных условиях будет в 3 раза меньше в индексе
К
с учетом raw и norm или без?
ММ
каждый
ММ
сырые лучше сжимаются))
К
ну фиг знает, как по мне, так лучше иметь в оперативном доступе данные в 3.5 раза больше, но с быстрым доступом, чем сжатые в 3 раза, но с невозможностью по ним нормально искать
ВМ
в вашем конкретном случае я бы переписал формулу, наверное:
event_src.fqdn = fqdn
event_src.hostname = hostname
hostname бы получал загоняя fqdn в переменную и откусывая домен
event_src.fqdn = fqdn
event_src.hostname = hostname
hostname бы получал загоняя fqdn в переменную и откусывая домен
В общем это подтвердилось. 18 версия осуществляет привязку по краткому имени, без домена.
A
Максим Максимович
Мы видели и 4ТБ суточный индекс
А сколько в нем было шардов?
A
Этот параметр где-то вообще можно задать, чтобы не сломать всю систему? У эластика на этот счет есть рекомендации, но ни в одном гайде по pt siem не видел
ММ
А сколько в нем было шардов?
меньше чем нужно))
N
Для тех, кто стеснялся скачать отчет о трудозатратах на SIEM-системы, редакторы антималваре сделали обзор результатов опроса https://www.anti-malware.ru/practice/solutions/Practice-with-SIEM-systems
AP
Для тех, кто стеснялся скачать отчет о трудозатратах на SIEM-системы, редакторы антималваре сделали обзор результатов опроса https://www.anti-malware.ru/practice/solutions/Practice-with-SIEM-systems
Многие в этом чате заплачут, прочитав эту статью. Не надо так. 😊
Z
🤣24/7/365
Z
вот мои трудозатраты
Z
N
Andrei Potseluev
Многие в этом чате заплачут, прочитав эту статью. Не надо так. 😊
в статье есть надежда на светлое будущее!