Z
ddb
Подскажите а как считается количество срабатывания правила за сутки (сбор данных > правила корреляции)? Correlation_type == event тоже учитывается?
да
Size: a a a
2020 February 06
Z
не создание инцидентов считает, а вообще срабатывание кореляций
MG
Коллеги, а можно утилите удаления индексов es_backup скормить пачку индексов с вайлдкардом?
MG
MG
Вот так нормально же отработает?
MG
Вроде отработало
MG
Может добавить в утилиту штатную возможность указания индексов по маске а не поштучно?
К
не создание инцидентов считает, а вообще срабатывание кореляций
срабатывание корреляции или заведение корреляционных событий?
Z
Эээ шта
К
Эээ шта
правило корреляции, внезапно, не всегда создает событие или инцидент
Z
правило корреляции, внезапно, не всегда создает событие или инцидент
Шта
Z
Как нах
К
может срабатывать в холостую, если есть инструкция close
RS
может срабатывать в холостую, если есть инструкция close
это не сработка
Z
Кривое правило?
К
это не сработка
сработка - обработка события телом корреляции началась, но завершилась закрытием корреляции
RS
сработка - обработка события телом корреляции началась, но завершилась закрытием корреляции
ок, это вопрос терминологии
К
Кривое правило?
нет, вполне ровное) просто не всегда emit-ящее событие)
RS
обработка событий телом корреляции идёт всегда, если они под фильтр попадают :)
вот результат этой обработки бывает разный
вот результат этой обработки бывает разный
К
ну да, собственно в связи с этим и вопрос... что считает счетчик