Тьфу

Да

Все, пораб мне подумать об отдыхе, мозг уже не переключается >_<

С эластика ни на что:?

Беда

Да чет заел эластик и не отпускает

systemctl stop elastic*

Колеги, я думаю изначальный вопрос товарища исходил из следующих предпосылок. Часто приходишь в инфру, у которой уже что-то настроено в  плане сбора логов, и тебе заявляют - мы  не можем\не хотим\требует многоступеначатого согласования и т.д. перенастравиать уже настроенный сбор. Поэтому существующую систему сделайте так, чтобы нам ничего переделывать\добавлять не пришлось. И понятно всем, что это конечно не правильно, но c'est la vie, приходится так работать. И вот если эта, уже настроенная система, - MP SIEM, то было бы интересно узнать, как не встраиваясь между источником и MP SIEM забрать логи, а еще лучше, забрать их в том виде, в каком источник отдает. Проблема глупая и по-хорошему  не тут должно быть решение, но в реалиях жизни, обычно что-то на этом участке инфры и приходитя городить.

Очень похоже на правду

А вот это плохо. Кролик мог бы решить много проблем

Странно, почему появление еще одного потребителя внешнего у мессадж брокера снимает с поддержки такую мощную систему...

кто будет отвечать, если потребитель положит кроллик?

это прям таки вопрос не в лоб а в глаз... кто будет отвечать если подписчик фидов ну скажем финцерта положит финцерт?

Нам недавно один вендор сказал, что за работу монгодб под капотом своего продукта не они отвечают, т.к. не  они его разрабатывали

Было весело, смеялись много

на потоках в тысяи епс этого потребителя надо правильно написать и при его неправильной реализации он кладет все систему

Вы уже пробовали такое провернуть с техподдержкой какого-нить зарубежного SIEM? Пришлите ответ техподдрежки, у меня книга с ангдотами Петросяна кончились, а поржать охота

Можно и не SIEMы вспомнить. С МЭ/etc  примерно та же история регулярно.

некоторые зарубежные сием умеют форвардить весь входящий поток в сислог и не булькают. просто молча форвардят. даже не тормозят. поток такой, не одну тысячу епс