К
С кибаной лучше поаккуратнее, она может эластик завалить.
Лучше экспорт датой смотреть всё же.
Лучше экспорт датой смотреть всё же.
Size: a a a
2019 January 23
A
я через export_data выгружаю или curl использую, там отображает сырые
К
да, события видны, но какие-то старые и со странным recv_time
Надо смотреть дату, которая засовывается источником в событие, может на нём самом сислог криво настроен.
МВ
это время должно тогда в time попасть, а в recv_time. если не ошибаюсь, все же время на агенте
МВ
после того, как исправили время на агенте, новых событий с корректным временем не появилось? после исправления времени новые события точно приходили?
МВ
в очередях rmq все ок?
A
в очереди все сморится ок
SS
SS
не двигается
SS
я коллега Alexandr :)
МВ
а события с других источников появляются в сиеме? и проверьте, пожалуйста, получал ли агент новые события, после того, как скорректировали время. если да, то надо снова выгрузить список сырых событий за какой-то промежуток времени
A
сырые события за последние 10 минут есть
МВ
от сислога или других источников?
A
от сислога, видимо пошли в итоге
A
странно, что в журнале задачи вид какой-то нестандартный
МВ
у кого вид нестандартный?)
A
обычно там писало - столько то событий отправлено
A
а теперь вот только сообщения про очередь
A
А как работает токен {Hostname}? он отказвается читать 1с-NVD-01.domain.com
МВ
хм, а вы не проверяли, только SDK не понимает этот fqdn, или SIEM тоже не парсит его?