Один раз была проблема с лицензией, помогла замена сертификатов

I mean, тут как бы развитие полным ходом, фичи клевые, ускорение, плюшки.

И вот вопрос - что лучше, документированное обновление или релиз раз в три года?

тут важна последовательность событий. Сначала исправили проблему с лицензией, потом всё было хорошо и даже видели события в сиеме, а потом прошло 2 недели и они перестали отображаться. Так?

Да, с лицензией проблема была решена в том году, в ноябре месяце, вот до конца апреля, все работало

Прошу прощения, февраля*

ну тогда можно службы SIEM проверить и журналы, которые писал выше. Должно помочь локализовать источник

А health monitoring зеленый и ошибок не показывает?

Тогда еще его не было

ошибаешься

вочдога и флоуконтрола не было да

Ауффф

Да, зелёный

Вы знаете, заметил такой момент, что при выставлении периода для вывода событий на более дальнюю дату, отрабатывает без ошибок и показывает события

Я уже не помню, но что если эта ошибка возникает из-за того что событий за этот период нет... Если в событиях за последний час такая ошибка возникает, можно войти в кролик по протоколу http, порту 15672, локально доступна учетка guest/guest и посмотреть поступает ли в него что-то вообще. Или, можно сделать запрос к эластику:  http://адрессервера:9200/_cat/indices?v и посмотреть есть ли ptsiem_events индекс за сегодня и последние две недели. Индексы в эластике пишутся по датам. Events - это нормализованные события

Хм, а можно крамольную мысль выскажу? Глядя на эту переписку кажется что задача заключается не в том, чтобы siem приносил пользу, а просто моргал лампочкой. Другой причины жить на древней версии я не вижу. Если так, то зачем париться? Он ведь какие-то события за какой-то период показывает... значит можно оставить и так.

Древняя версия сертифицирована, а у некоторых госсопка

18.1 поставить?

Если нужен сертификат - да

Но вроде двадцатку скоро сертифийирут и можно будет обновиться

Когда будет получен сертификат ФСТЭК России на SIEM?