MH
Hello guys , our Siem was receiving event fine , but suddenly stopped , the sysmon agents are running fine , tried to restart the the front end and the back end servers , sysmon services but still the same
Size: a a a
2020 February 26
MH
Is there any thing to check ?
ML
Pavel Grachev
Коллеги, сием с нормальными ресурсами стал частенько ложиться с большими очередями, есть предположение, что некоторые не хорошие пользователи выполняют много запросов со сроком от 30 дней и больше. Можем ли мы в логах (или иным способом) отследить какой запрос и от какого пользователя завис?
вот штатное средство . как вариант, можно скоррелировать события тут со временем высокой загрузки и запросами пользователя
PG
вот штатное средство . как вариант, можно скоррелировать события тут со временем высокой загрузки и запросами пользователя
А где тут посмотреть какой запрос по времени сделал пользователь? За 7 или за 30? Как увидеть что запрос имел высокую нагрузку?
ML
Pavel Grachev
А где тут посмотреть какой запрос по времени сделал пользователь? За 7 или за 30? Как увидеть что запрос имел высокую нагрузку?
штатными средствами SIEM не логируются запросы (на сколько мне известно). только само действие (журнал можно смотреть за определенный промежуток времени)
ML
PG
Это не дает ни какой информации о том, кто делает тяжёлый запрос. Здесь минимальная информация о том, что вообще происходит
ML
Pavel Grachev
Это не дает ни какой информации о том, кто делает тяжёлый запрос. Здесь минимальная информация о том, что вообще происходит
хорошая идея для фича реквеста)))))
PG
хорошая идея для фича реквеста)))))
Уже есть)
ML
давно отправляли?
PG
18.02 и это уже второй. Первый очень давно был, так как уже сталкивались с такой проблемой
RR
Всем привет. Подскажите, при смене адреса smtp сервера командой mpxcore set -p SmtpHost <адрес> возвращается ошибка "Error Action Preference или общему параметру присвоено значение Stop: Service Triggers.Host, Scores.Host". Но при этом уведомления заработали, хотя в mpxcore адрес localhost. В чем может быть проблема?
m
Roman Redikultsev
Всем привет. Подскажите, при смене адреса smtp сервера командой mpxcore set -p SmtpHost <адрес> возвращается ошибка "Error Action Preference или общему параметру присвоено значение Stop: Service Triggers.Host, Scores.Host". Но при этом уведомления заработали, хотя в mpxcore адрес localhost. В чем может быть проблема?
21.0?
В файле C:\Program Files\Positive Technologies\MaxPatrol SIEM Core\.install\scripts\Configs.ps1
заменить во всех строках:
"Triggers.Host,Scopes.Host"
на
"Triggers.Host", "Scopes.Host"
В файле C:\Program Files\Positive Technologies\MaxPatrol SIEM Core\.install\scripts\Configs.ps1
заменить во всех строках:
"Triggers.Host,Scopes.Host"
на
"Triggers.Host", "Scopes.Host"
m
лучше сначала бакап скрипта сделать
RR
max
21.0?
В файле C:\Program Files\Positive Technologies\MaxPatrol SIEM Core\.install\scripts\Configs.ps1
заменить во всех строках:
"Triggers.Host,Scopes.Host"
на
"Triggers.Host", "Scopes.Host"
В файле C:\Program Files\Positive Technologies\MaxPatrol SIEM Core\.install\scripts\Configs.ps1
заменить во всех строках:
"Triggers.Host,Scopes.Host"
на
"Triggers.Host", "Scopes.Host"
Да, 21.0
MH
Hi guys
MH
Is there a command to add remote agent ?
RS
mpxagent set -p RMQHost <your core server>
MH
Thanks
RS
runs in agent console