v
Поле ТС start_time типа string?
datetime
Size: a a a
2020 April 16
RS
обогатить нормализованное событие?
Ну то, которое в фильтре указано
e
datetime
Значится, что вы string в datetime засовываете. Нужно выбрать один тип данных и поля ТС.
v
Значится, что вы string в datetime засовываете. Нужно выбрать один тип данных и поля ТС.
ааа, в нормализованном наверное string, да
v
Запихнул в datafield10 строку, увидел её
v
но в ТС опять пусто
m
но в ТС опять пусто
преобразование типов добавили? лог enricher не смотрели?
v
где глянуть лог?
v
поставил все типы string
v
думаю оставить одно поле вообще, только хост
m
где глянуть лог?
на siem sserver.
m
думаю оставить одно поле вообще, только хост
или так или ключевым сделать только host
v
корректно присваивать event_src.host?
e
Да, норм.
v
оставил одно поле с именем, формат string, послал тачку в ребут, жду событие
v
Появился в ТС
v
блин, а инцидент все равно появился 🙈
v
Я же правильно понимаю, если значения переменных равны, то функция возвращает true, если возвращает true, то будет выполнятся блок операторов, где $correlation_type = "event"
v
это нормалино, если в конструкции if у условии просто переменная с типом bool без знака равно?
v
хм, отправил в datafield результат exec_query, получил false
Заметил что в ТС last_changed время написано раньше, чем время события инцидента
не может быть такого, что правило корреляции и, соответственно, запрос к табличному списку происходит раньше, чем этот табличный список наполнится?...
Заметил что в ТС last_changed время написано раньше, чем время события инцидента
не может быть такого, что правило корреляции и, соответственно, запрос к табличному списку происходит раньше, чем этот табличный список наполнится?...