RS
не думаю
оно могло выглядеть иначе, но принцип один с 19.1, когда разработка переехала в PTKB
оно могло выглядеть иначе, но принцип один с 19.1, когда разработка переехала в PTKB
Size: a a a
2020 April 01
e
e
не думаю
оно могло выглядеть иначе, но принцип один с 19.1, когда разработка переехала в PTKB
оно могло выглядеть иначе, но принцип один с 19.1, когда разработка переехала в PTKB
Я почему-то запомнил, что обновляется весь однотипный контент - весь граф нормализации, все корреляции и тд.
RS
в первом случае будет clean + insert
в третьем upsert
отличия в скорости и том, что случится с уже установленным
в третьем upsert
отличия в скорости и том, что случится с уже установленным
e
в первом случае будет clean + insert
в третьем upsert
отличия в скорости и том, что случится с уже установленным
в третьем upsert
отличия в скорости и том, что случится с уже установленным
Ну то есть концептуальная задумка была верная, но upset всей БД немного нарушает логику. Ваша позиция мне понятна.
Ещё раз спасибо за разъяснения!
Ещё раз спасибо за разъяснения!
MG
Добрый день коллеги, снова по нормализации вопрос, подскажите пожалуйста, можно ли (и как) у переменной отрезать 1 символ с конца?
MG
Substr вроде не подойдёт, т.к. там надо указывать длину строки, а она меняется
v
Коллеги, а эти события винды, получается, не парсятся из коробки?
109 - Kernel-Power: The kernel power manager has initiated a shutdown transition.
13 - Kernel-General: The operating system is shutting down at system time 2020-03-19T13:08:14.358587200Z.
12 - Kernel-General: The operating system started at system time 2020-03-19T13:08:20.484432800Z.
109 - Kernel-Power: The kernel power manager has initiated a shutdown transition.
13 - Kernel-General: The operating system is shutting down at system time 2020-03-19T13:08:14.358587200Z.
12 - Kernel-General: The operating system started at system time 2020-03-19T13:08:20.484432800Z.
v
не могу найти в формулах нормализации их
MG
Substr вроде не подойдёт, т.к. там надо указывать длину строки, а она меняется
Strip подошёл
RS
Коллеги, а эти события винды, получается, не парсятся из коробки?
109 - Kernel-Power: The kernel power manager has initiated a shutdown transition.
13 - Kernel-General: The operating system is shutting down at system time 2020-03-19T13:08:14.358587200Z.
12 - Kernel-General: The operating system started at system time 2020-03-19T13:08:20.484432800Z.
109 - Kernel-Power: The kernel power manager has initiated a shutdown transition.
13 - Kernel-General: The operating system is shutting down at system time 2020-03-19T13:08:14.358587200Z.
12 - Kernel-General: The operating system started at system time 2020-03-19T13:08:20.484432800Z.
Видимо нет. Их там over 9000, поэтому покрытие никогда не будет полным.
Если у вас есть внятный кейс, опишите его
Если у вас есть внятный кейс, опишите его
v
Заказчик хочет поправить корреляцию Windows_Malicious_system_like_process_started
Подозрительный процесс C:\Windows\System32\ запущен из подозрительного каталога или не от имени пользователя SYSTEM на узле ХХХХ, добавив туда условие, что бы инцидент создавался, если это происходит не после перезагрузки (запуска) системы, то бишь не через некоторое время после данных событий (ID 12 13 109)
Подозрительный процесс C:\Windows\System32\ запущен из подозрительного каталога или не от имени пользователя SYSTEM на узле ХХХХ, добавив туда условие, что бы инцидент создавался, если это происходит не после перезагрузки (запуска) системы, то бишь не через некоторое время после данных событий (ID 12 13 109)
m
Strip подошёл
Фиксированный (удалить кавычки, например) - strip, а нужный кусок- length+substr.
Осторожно с length substr и т.д. Они считают в байтах, а не в символах
Осторожно с length substr и т.д. Они считают в байтах, а не в символах
MG
max
Фиксированный (удалить кавычки, например) - strip, а нужный кусок- length+substr.
Осторожно с length substr и т.д. Они считают в байтах, а не в символах
Осторожно с length substr и т.д. Они считают в байтах, а не в символах
Спасибо
v
Видимо нет. Их там over 9000, поэтому покрытие никогда не будет полным.
Если у вас есть внятный кейс, опишите его
Если у вас есть внятный кейс, опишите его
Отбой, вроде нашел, просто в системном имени номер стоит 14, а в eventID = 12
v
Подскажите, как лучше вытащить сырые события журналов винды? если забираю прямиком с журналов, то они в xml, а в сием они поступают уже в eventlog (соответственно формулу нужно писать под eventlog)
но в куче ненормализованных событий в Элапстике я просто не могу найти физически те, которые мне нужны
но в куче ненормализованных событий в Элапстике я просто не могу найти физически те, которые мне нужны
m
Подскажите, как лучше вытащить сырые события журналов винды? если забираю прямиком с журналов, то они в xml, а в сием они поступают уже в eventlog (соответственно формулу нужно писать под eventlog)
но в куче ненормализованных событий в Элапстике я просто не могу найти физически те, которые мне нужны
но в куче ненормализованных событий в Элапстике я просто не могу найти физически те, которые мне нужны
export_data + grep?)
Ну или R22)
Ну или R22)
e
Подскажите, как лучше вытащить сырые события журналов винды? если забираю прямиком с журналов, то они в xml, а в сием они поступают уже в eventlog (соответственно формулу нужно писать под eventlog)
но в куче ненормализованных событий в Элапстике я просто не могу найти физически те, которые мне нужны
но в куче ненормализованных событий в Элапстике я просто не могу найти физически те, которые мне нужны
Ещё можно сохранить нужные события в отдельный журнал evtx и создать задачу сбора из этого журнала, потом найти по task_id.
Но я бы делал, как написал max.
Но я бы делал, как написал max.
v
max
export_data + grep?)
Ну или R22)
Ну или R22)
уже хочу обновить)))
RS
уже хочу обновить)))
вот именно для этого сценария это просто must have