RS
order by конечно же спас ситуацию, но всё же...
тикет
Size: a a a
2020 March 31
Z
тикет
ок, позже
v
КОллеги, подскажите, в чем проблема, кидаю запросы на эластик, не могу найти ни одно событие в базах за последний месяц, хотя в Core все отлично нормализуется и события идут
m
КОллеги, подскажите, в чем проблема, кидаю запросы на эластик, не могу найти ни одно событие в базах за последний месяц, хотя в Core все отлично нормализуется и события идут
может запрос не тот? в UI события видны?
v
v
а в событиях поток есть, примерно 50 EPS
v
подключили по сислогу нестандартный источник, а я не вижу событий, поступают или нет, а потом понял что вообще никаких не вижу событий по запросу в ластик
A
нужно указать текущий индекс, запрос будет такой ptsiem_r_2020-03-31/_search
A
и указать size=10000 , тк по дефолту только 10 результатов выводится
A
ptsiem_r_2020-03-31/_search?size=10000&...
v
я думал, что сырые события поступают всегда, вне зависимости, нормализованные они или нет, и если это событие нормализованное, то normalized=true
v
если пишу false то всё еще хуже))
c
Не проще, если известен адрес откуда приходит сислог, отфилтровать по recv_ipv4?
A
я думал, что сырые события поступают всегда, вне зависимости, нормализованные они или нет, и если это событие нормализованное, то normalized=true
все верно, сырые все сохраняются.
v
Не проще, если известен адрес откуда приходит сислог, отфилтровать по recv_ipv4?
у меня по сислогу всего 2 источника, заодно хотел проверить, всё ли нормализуется
v
ptsiem_r_2020-03-31/_search?size=10000&...
сейчас попробую
c
у меня по сислогу всего 2 источника, заодно хотел проверить, всё ли нормализуется
Хотел бы я посмотреть на того, у кого всё нормализуется
A
Хотел бы я посмотреть на того, у кого всё нормализуется
видел как 90-95% нормализуется
IY
у меня по сислогу всего 2 источника, заодно хотел проверить, всё ли нормализуется
тогда можно писать tag:syslog
D
у меня по сислогу всего 2 источника, заодно хотел проверить, всё ли нормализуется
Переходите на 22 релиз