acs нормализуем?)

см acs/ise в нормализации - оно?

я еще не дошел) сходу вопрос в обогащении при запросе к табличному списку как приводить его содержимое в нижний регистр?

я что то тут строю но что то всё не то

т.е. у меня в табл списке IvanovAM проверяю вхождение IvAnoVaM , привожу к нижнем регистру а вот как содержимое бд привести к нижнему?

может стоит хранить сразу в lower?

писать туда сразу в нужном виде (с lower)

не могу....много уже там записей

export-import

экспрот/lower/импорт?:)

миграция на рантайме при помощи правила )))

эх вы любители костылей как и я)

Коллеги, подскажите, с чем может быть связана проблема

Есть правило корреляции, которое срабатывает (и создает инцидент), когда происходит 1+ событий в течении 10 минут, в событии key по dst.host
Поступило 10 событий, абсолютно идентичных, в один и тот же момент, с одного хоста, на выходе вышло 4 корреляции (в каждом внутри 3 события, 2 события, 3 события и еще 2 события - в сумме те же десять), а инциденты от них пришли в разное время (сразу, через 15 минут, через 30 и через 40 минут)

почему корреляция не сработала на все 10 событий? и почему инциденты не появились тогда же когда и корреляционные события? не знаю куда копать

а ты timer используешь?

да

событие+ нельзя с within

нельзя, да.

bug.....

запрос выполняется...но не сохраняется

order by конечно же спас ситуацию, но всё же...