Телеграмм чат группы MPSIEMChat страница 662

parrot.ru

Рейтинг популярных групп и каналов

В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу

2019 December 17

v

virars in MaxPatrol SIEM

Коллеги, вопрос по журналам Windows, хочу сделать задачи на сбор определенных журналов (в частности в отношении dhcp) столкнулся с непонимаением.

в самих журналах названия:
"Microsoft-Windows-DHCP Client Events/Admin"

в refguide названиея логов без слова Events:
"Microsoft-Windows-DHCP Client/Admin"

причем задача работает именно с таким названием, которое прописано в refguide...Иначе журнал он не находит

источник

12:08пожаловаться #1

v

virars in MaxPatrol SIEM

Так вот, меня интересуют именно урналы DHCP Server, но их, в отличие от DHCP-Client, сием не находит ни в первом ни во втором варианте

источник

12:09пожаловаться #2

v

virars in MaxPatrol SIEM

Машина-цель, на которой забираю журналы - та же на которой успешно забираю журнал "Microsoft-Windows-DHCP Client/Admin"

источник

12:10пожаловаться #3

v

virars in MaxPatrol SIEM

с тачки агента подключился через оснастку eventvwr к машине с DHCP - вижу эти журналы, они доступны и просматриваются...

источник

12:11пожаловаться #4

v

virars in MaxPatrol SIEM

источник

12:12пожаловаться #5

v

virars in MaxPatrol SIEM

ВОт в логах, Серверные журналы не находит, а клиентский - без проблем...

источник

12:16пожаловаться #6

m

max in MaxPatrol SIEM

DHCP Server или DHCP-Server в профиле?

источник

12:18пожаловаться #7

m

max in MaxPatrol SIEM

в refguide -
"file":"DhcpAdminEvents"
"file":"Microsoft-Windows-Dhcp-Server/Operational"
"file":"Microsoft-Windows-Dhcp-Server/FilterNotifications"

источник

12:18пожаловаться #8

c

cinortoce in MaxPatrol SIEM

Если зайти в свойства журнала, то там написано Full name: DhcpAdminEvents

источник

12:19пожаловаться #9

c

cinortoce in MaxPatrol SIEM

Его и надо использовать

источник

12:19пожаловаться #10

v

virars in MaxPatrol SIEM

пробую

источник

12:25пожаловаться #11

v

virars in MaxPatrol SIEM

max

DHCP Server или DHCP-Server в профиле?

пробовал и так и так, но именно с Microsoft-Windows-Dhcp-Server/Admins

источник

12:27пожаловаться #12

v

virars in MaxPatrol SIEM

пробовал и так и так, но именно с Microsoft-Windows-Dhcp-Server/Admins

а такого, как оказалось, нет

источник

12:27пожаловаться #13

v

virars in MaxPatrol SIEM

Если зайти в свойства журнала, то там написано Full name: DhcpAdminEvents

да, спасибо, помогло!

источник

12:27пожаловаться #14

v

virars in MaxPatrol SIEM

Помогло, но... в общем журналы он вроде бы забирает, но событий не появляется..

источник

12:54пожаловаться #15

v

virars in MaxPatrol SIEM

события в журнале из оснастки винды - есть, свежие (сегодняшние), в сводке ненормализованных событий не прибавилось. В чем может быть проблема?

источник

12:56пожаловаться #16

m

max in MaxPatrol SIEM

по дефолту профиль забирает только новые события. Точно ли были ли события после запуска задачи?

источник

13:06пожаловаться #17

v

virars in MaxPatrol SIEM

max

по дефолту профиль забирает только новые события. Точно ли были ли события после запуска задачи?

хммм, после запуска возможно и не было, а можно ли как то забрать те, которые уже есть в журнале?

источник

14:21пожаловаться #18

m

max in MaxPatrol SIEM

хммм, после запуска возможно и не было, а можно ли как то забрать те, которые уже есть в журнале?

конечно. или отдельнйо задачей, или этйо же, но изменив соотвествующий параметр в профиле (и возможно включив hostorical=true) и сбросив состояние источника

источник

14:48пожаловаться #19

m

max in MaxPatrol SIEM

но если задача собирает несколько журналов - то старые будут собраны из всех., соотвественно если каике-то были собраны ранее - то будут собраны второй раз

источник

14:49пожаловаться #20