К
в остальном всё должно работать
Size: a a a
2019 November 18
c
Но зачем query zap_m, оно же не используется...
Д
А кто-нибудь уже пробовал обновиться с 21.0 на 21.1?
Ни у кого проблем не возникло?
Ни у кого проблем не возникло?
M
Знаю точно, что если кролик сломается, то даже при успешно активированной лицензии SIEM её не видит. В интерфейсе висит ошибка об её отсутствии (во всяком случае в версиях R19 и ниже я это воспроизводил).
Кролик как шина данных в любом случае должен быть жив. Ошибки будут видны в веб-интерфейсе. Давайте хотя бы поймём есть ли они там.
В licence.log есть ошибки? Журнал расположен, там же где и все логи Core
Кролик как шина данных в любом случае должен быть жив. Ошибки будут видны в веб-интерфейсе. Давайте хотя бы поймём есть ли они там.
В licence.log есть ошибки? Журнал расположен, там же где и все логи Core
Александр, спасибо большое, что подсказали, где еще посмотреть. В итоге проблема оказалась в сертификатах между кором и агентом. Кролик не получал вообще никаких сообщений.
2019 November 19
DP
Добрый день. К нам приехал сервер MaxPatrol SIEM CH230 c предустановленным сиемом. Правда приехал не рабочий сием. При попытке зайти на веб-интерфейс - выходит ошибка: System.Net.Sockets.SocketException: No connection could be made because the target machine actively refused it 127.0.0.1:5672.
Выяснили, что сервис RabbitMQ не запущен, но при попытке запуска он крашится. Вот что в логах пишет:
2019-11-18 10:39:10 =CRASH REPORT====
crasher:
initial call: application_master:init/4
pid: <0.250.0>
registered_name: []
exception exit: {{bad_return,{{rabbit,start,[normal,[]]},{'EXIT',{error,{{shutdown,{failed_to_start_child,rabbit_epmd_monitor,{{badmatch,{error,nxdomain}},[{rabbit_epmd_monitor,init,1,[{file,"src/rabbit_epmd_monitor.erl"},{line,56}]},{gen_server,init_it,2,[{file,"gen_server.erl"},{line,365}]},{gen_server,init_it,6,[{file,"gen_server.erl"},{line,333}]},{proc_lib,init_p_do_apply,3,[{file,"proc_lib.erl"},{line,247}]}]}}},{child,undefined,rabbit_epmd_monitor_sup,{rabbit_restartable_sup,start_link,[rabbit_epmd_monitor_sup,{rabbit_epmd_monitor,start_link,[]},false]},transient,infinity,supervisor,[rabbit_restartable_sup]}}}}}},[{application_master,init,4,[{file,"application_master.erl"},{line,134}]},{proc_lib,init_p_do_apply,3,[{file,"proc_lib.erl"},{line,247}]}]}
ancestors: [<0.249.0>]
message_queue_len: 1
messages: [{'EXIT',<0.251.0>,normal}]
links: [<0.249.0>,<0.33.0>]
dictionary: []
trap_exit: true
status: running
heap_size: 1598
stack_size: 27
reductions: 157
neighbours:
Выяснили, что сервис RabbitMQ не запущен, но при попытке запуска он крашится. Вот что в логах пишет:
2019-11-18 10:39:10 =CRASH REPORT====
crasher:
initial call: application_master:init/4
pid: <0.250.0>
registered_name: []
exception exit: {{bad_return,{{rabbit,start,[normal,[]]},{'EXIT',{error,{{shutdown,{failed_to_start_child,rabbit_epmd_monitor,{{badmatch,{error,nxdomain}},[{rabbit_epmd_monitor,init,1,[{file,"src/rabbit_epmd_monitor.erl"},{line,56}]},{gen_server,init_it,2,[{file,"gen_server.erl"},{line,365}]},{gen_server,init_it,6,[{file,"gen_server.erl"},{line,333}]},{proc_lib,init_p_do_apply,3,[{file,"proc_lib.erl"},{line,247}]}]}}},{child,undefined,rabbit_epmd_monitor_sup,{rabbit_restartable_sup,start_link,[rabbit_epmd_monitor_sup,{rabbit_epmd_monitor,start_link,[]},false]},transient,infinity,supervisor,[rabbit_restartable_sup]}}}}}},[{application_master,init,4,[{file,"application_master.erl"},{line,134}]},{proc_lib,init_p_do_apply,3,[{file,"proc_lib.erl"},{line,247}]}]}
ancestors: [<0.249.0>]
message_queue_len: 1
messages: [{'EXIT',<0.251.0>,normal}]
links: [<0.249.0>,<0.33.0>]
dictionary: []
trap_exit: true
status: running
heap_size: 1598
stack_size: 27
reductions: 157
neighbours:
DP
Подскажите пожалуйста как траблшутить
m
Подскажите пожалуйста как траблшутить
hostname не меняли?
К
при попытке валидации правила обогащения получаю:
System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> System.AccessViolationException: Attempted to read or write protected memory. This is often an indication that other memory is corrupt.
at rcnetapi.rcnetapiPINVOKE.EnRuleCompiler_build(HandleRef jarg1)
at rcnetapi.EnRuleCompiler.build()
System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> System.AccessViolationException: Attempted to read or write protected memory. This is often an indication that other memory is corrupt.
at rcnetapi.rcnetapiPINVOKE.EnRuleCompiler_build(HandleRef jarg1)
at rcnetapi.EnRuleCompiler.build()
К
подскажите, в чем я не прав?
AP
подскажите, в чем я не прав?
В 9 вечера, после первого дня СОК форума, я бы на быстрый и адекватный ответ не рассчитывал... ☺️
К
Andrei Potseluev
В 9 вечера, после первого дня СОК форума, я бы на быстрый и адекватный ответ не рассчитывал... ☺️
чо эта? все уже с первого дня хорошие?
RS
Версия siem и sdk PTKB?
К
sdk 21.1.3490
AP
чо эта? все уже с первого дня хорошие?
Судя по фото, многие празднуют, прямо вот в настоящий момент. 😊
К
Andrei Potseluev
Судя по фото, многие празднуют, прямо вот в настоящий момент. 😊
видимо из тех, чья жизнь не связана плотно с разработкой под данный продукт
RS
видимо из тех, чья жизнь не связана плотно с разработкой под данный продукт
Разработки там вообще нет
RS
С другими правилами такого нет?
К
Разработки там вообще нет
ну почему, Нолик там что-то тоже пилит... версия сием 21.1.2939
RS
ну почему, Нолик там что-то тоже пилит... версия сием 21.1.2939
Fake AP он пилит
К
Fake AP он пилит
не, это на форуме))) милое ж дело)))