События в тулзу идут через stdin сплошным потоком. Подробнее в нашем видосе про нормализацию русскоязычных логов

Чего?

событие попало под условие формулы, но не нормализовалось ею по причине неполного соответствия. как выяснить, в какую формулу оно залетело?

Или попали или не нормализовались, вы уж там определитесь. Если попали то по id, а если не попали, то никуда не попали

как бы ни так. событие может попасть под условие, но не нормализоваться. и определяться в данном случае бессмысленно

Ну ок, тогда вы знаете больше меня, что не фокус.

в любом случае, нужна полная картина... пример события и формула. Неплохо было бы и профиль для сбора увидеть.

Разобрались:
Если в формулах нормализации (TEXT=, TABULAR= etc) случился конфликт, то возможна ситуация когда событие попало сразу под два правила нормализации. В этом случае возникает неопределенность в алгоритме работы нормализатора. Событие может быть обработано одним каким-то правилом нормализатора, а может и вовсе не быть обработано ничем. С диагностикой в этом случае и впрямь не здорово. И это та причина, по которой мы предлагаем передавать события нам для анализа и централизованного избавления от конфликтов. Добавление новых формул может повлечь необходимость рефакторинга уже имеющихся.

проще всего попробовать скомпилить граф из одной формулы и собрать события...

Говорят, на UCS стал виден релиз 19.1.
Это случайно или версия перешла в стадию общей доступности?

Перешла, в скором времени будет общая нотификация.

Коллеги, добрый день

Сием с Максом не дублируют друг друга!?

в плане?

сием это сием

Там есть агент

макс это nmap  с красивыми отчетами

Я понимаю, смущает именно компонент pt maxpatrol agent

Это из админгайда

На сием