МВ
обращаться к полям вы можете независимо от того есть ли они в формуле, насколько я помню
Size: a a a
2019 February 06
МВ
т.е. в формуле нужно указать минимально необходимый набор полей, которые точно будут во всех событиях, которые вы хотите нормализовать
IS
Я написал правило, оно в sdk отрабатывает, но в итоге события не нормализуются и я думаю что есть встроенное правило с cond под которое подподают данные сообщения
Как быть в такой ситуации как можно траблшутить такую проблему?
Как быть в такой ситуации как можно траблшутить такую проблему?
МВ
а для какого источника писали правило?
IS
Check point connectra
МВ
не думаю, что можно как-то имеющимися средствами это установить, кроме как проверить встроенные правила нормализации. по источнику и типу события найти формулу не сложно должно быть
МВ
а можете привести пример вашего события и формулы?)
IS
А если правило от другой системы подходит к этим событиям?)
IS
Марина Воронина
а можете привести пример вашего события и формулы?)
В данный момент нет, смогу попозже
МВ
это маловероятно, у чекпоинта специфические поля в событиях..или вы про то, что оно может подпадать, например, под модуль антивируса в чекпоинте?
МВ
проверяли условия для встроенных двух формул нормализации для Connectra?
МВ
вы случайно не события mobile access portal нормализуете?)
IS
Марина Воронина
проверяли условия для встроенных двух формул нормализации для Connectra?
Да, там там есть поля которых нет в событии
IS
Марина Воронина
вы случайно не события mobile access portal нормализуете?)
Нет)
МВ
проверяли в сдк это событие с похожей формулой для Connectra? полагаю, там он напишет, что не выполняется условие, т.к. несколько полей (которых нет в событии) равны null
IS
Марина Воронина
проверяли в сдк это событие с похожей формулой для Connectra? полагаю, там он напишет, что не выполняется условие, т.к. несколько полей (которых нет в событии) равны null
Не проверял, но да думаю будет ошибка
IS
А у sdk логов нет? Т.е. возможно в sdk попробовать нормализовать событие по полному граффу и посмотреть по какому правилу были сработки?
МВ
в аналогичной ситуации с Connectra мы для заказчика создавали заявку на разработку правил нормализации (чтобы правило впоследствии попало в дистрибутив), нам присылали переделанное правило Authentication для Connectra, там меньше полей в формуле используется (но вроде это правило должно было не раньше, чем в 19.1 попасть)
МВ
кажется, сдк умеет только показывать сколько событий было нормализовано, а сколько нет, и добавлять ненормализованные события в файл
МВ
не уверена, что там есть подробные логи