v
а там хоть в siem можно делать? не в cmd
Size: a a a
2019 November 29
G
В 19.1 нет конструктора правил корреляции, если вы об этом
RS
2) если запрос работает, переходите к заполнению. для него вам понадобится select_query_first
v
но вообще вам надо разделить задачу на части
1) Понять, что запрос работает. Для этого уберите exec_query в фильтр, а в обработчике запишите в любое из полей какой-то маркер
фильтрация событий по маркеру позволить вам понять, что запрос валиден и делает то, что вы от него ждёте
1) Понять, что запрос работает. Для этого уберите exec_query в фильтр, а в обработчике запишите в любое из полей какой-то маркер
фильтрация событий по маркеру позволить вам понять, что запрос валиден и делает то, что вы от него ждёте
чото я совсем сейчас запутался
v
мы и убрали специально всё, что бы понять, что он обращается хотя бы к табличному списку
RS
обращайтесь через select_query_first
вы тут положились на неявное приведение типа, про реализацию которого я не уверен, но зато уверен в том, что так писать не надо
вы тут положились на неявное приведение типа, про реализацию которого я не уверен, но зато уверен в том, что так писать не надо
G
Роман, у коллеги есть пособие, там написано правильно. Надо подождать когда уляжется рябь в глазах. После этого, я уверен, все получится. Я верю в наших коллег!
٧
Gullible Beaver
К гадалке не ходи
К гадательному аппарату Tagil Instrument s не ходи)
G
Там, кстати, два аппарата
G
Forecast Mechanics еще
v
Gullible Beaver
Forecast Mechanics еще
есть такой))
v
правило же будет применяться к событиям, которые уже есть в сием?
G
Нет
G
Вам придется после каждого эксперимента загружать события повторно. Ретроспективной корреляции и ретроспективного обогащения в продукте не предусмотрено
G
Постарайтесь не устроить зацикливания правила корреляции. За все время тестирования был только один случай, но он был разрушительный для стенда. Коллега породил 43 миллиона событий из исходных 50 тысяч.
К
Gullible Beaver
Постарайтесь не устроить зацикливания правила корреляции. За все время тестирования был только один случай, но он был разрушительный для стенда. Коллега породил 43 миллиона событий из исходных 50 тысяч.
бггг, всего-то
К
вот если бы он из 50к событий породил 43 лимона инцидентов... было бы смешно)
m
вот если бы он из 50к событий породил 43 лимона инцидентов... было бы смешно)
достаточно было бы изменить всего 1 строку)
К
предлагаю позитиву провести соревнование на самый простой способ убить стабильно работающий сием)
К
max
достаточно было бы изменить всего 1 строку)
ага. а ещё можно было бы одним событием убить ластик)))