E
Фигасе не очень соблюдает )
цыц
Size: a a a
2020 January 31
MG
Я не знаю о каком конкретно заказчике идёт речь. Может действительно все так. Но если даже с сертифицированными версиями фсб по крипте народ не очень соблюдает версионность то уж с сиемом то?!
AV
2020 February 01
P
Доброго дня ! Подрядчик развернул siem без сохранения исходных событий. Возникла необходимость их сохранять (чтобы во вкладке исходное событие был исходник). На курсах рассказали, что это делается в файле ptsiem.conf. кто нибудь в курсе, какие параметры менять ?
E
Pavel
Доброго дня ! Подрядчик развернул siem без сохранения исходных событий. Возникла необходимость их сохранять (чтобы во вкладке исходное событие был исходник). На курсах рассказали, что это делается в файле ptsiem.conf. кто нибудь в курсе, какие параметры менять ?
да там вроде очевидно
"store_normalized_raw": true,
"store_unnormalized_raw": true,
правда сам не проверял
"store_normalized_raw": true,
"store_unnormalized_raw": true,
правда сам не проверял
E
Pavel
Доброго дня ! Подрядчик развернул siem без сохранения исходных событий. Возникла необходимость их сохранять (чтобы во вкладке исходное событие был исходник). На курсах рассказали, что это делается в файле ptsiem.conf. кто нибудь в курсе, какие параметры менять ?
только надо понять для чего так развёрнуто, может поток слишком большой?
T
Pavel
Доброго дня ! Подрядчик развернул siem без сохранения исходных событий. Возникла необходимость их сохранять (чтобы во вкладке исходное событие был исходник). На курсах рассказали, что это делается в файле ptsiem.conf. кто нибудь в курсе, какие параметры менять ?
Галочку High load в конфиге надо снять
P
да там вроде очевидно
"store_normalized_raw": true,
"store_unnormalized_raw": true,
правда сам не проверял
"store_normalized_raw": true,
"store_unnormalized_raw": true,
правда сам не проверял
Пробовал на стенде, (правда от обратного) события писались, поменял эти значения на false, перезапустил демон на хосте сием и..... .ничего не поменялось :(
P
Галочку High load в конфиге надо снять
А эта галочка где ? И на каком хосте должна быть ?
T
Pavel
А эта галочка где ? И на каком хосте должна быть ?
На компоненте сием
P
только надо понять для чего так развёрнуто, может поток слишком большой?
Ресурсы, пока позволяют, расчетная 20000, сейчас ~2500
T
Pavel
А эта галочка где ? И на каком хосте должна быть ?
Но там не так просто убрал галочку и все, там надо переустановить конфиг
E
Pavel
Пробовал на стенде, (правда от обратного) события писались, поменял эти значения на false, перезапустил демон на хосте сием и..... .ничего не поменялось :(
dpkg-reconfigure?
P
dpkg-reconfigure?
Видимо в этом и проблема, я просто перезапустил демон, попробую в понедельник
E
Pavel
А эта галочка где ? И на каком хосте должна быть ?
галочка при начальной конфигурации установки, конфиг-визард емнип. по сути, либо делаете дпкг реконфиг, либо накатываете как будто с нуля.
P
Спасибо
P
По результатам отпишусь
T
Там можно без наката как будто с нуля, просто конфиг поменять, но делается это из папки с дистрибутивом, там есть фаил с названием что типа инсталл_конфигуре.сх
T
К сожалению нету руководства под рукой
2020 February 02
AS
Pavel
Видимо в этом и проблема, я просто перезапустил демон, попробую в понедельник
Если не получится, в пн смогу помочь. Только напомните)
Должно работать и через правку ptsiem.conf с перезапуском служб и через highload опцию.
Highload опция правильнее потому что ptsiem.conf слетит после обновления
И да лучше это делать инсталятором (скриптом install.sh).
Должно работать и через правку ptsiem.conf с перезапуском служб и через highload опцию.
Highload опция правильнее потому что ptsiem.conf слетит после обновления
И да лучше это делать инсталятором (скриптом install.sh).