m
Aug 17 10:45:57 - это таки 17 августа текущего года должно быть.
Size: a a a
2020 April 26
e
max
почему 17-го?
e
max
Aug 17 10:45:57 - это таки 17 августа текущего года должно быть.
Не возможно, а точно )
RS
Historical = true вариантов не оставляет
А
Изменил месяц на Apr 17. все так же.
А
Удалил правило. Запустил задачу. В событии стало "normalized": false
RS
хоть что-то хорошее
мониторинг siem показывает что-то отличное от нуля?
и где?
есть ли что-то в логах storage?
мониторинг siem показывает что-то отличное от нуля?
и где?
есть ли что-то в логах storage?
m
АФ
Изменил месяц на Apr 17. все так же.
tailcutter/etc не удаляют старые данные? елси исправить на 26 апреля и поставить фильтр, чтобы дата из события точно попала?
А
Странная субстанция мониторинг. Все по нулям. Запускал задачу по сбору логов с ПК. Событие приехали нормально а мониторинг по нулям...
m
хоть что-то хорошее
мониторинг siem показывает что-то отличное от нуля?
и где?
есть ли что-то в логах storage?
мониторинг siem показывает что-то отличное от нуля?
и где?
есть ли что-то в логах storage?
"В событии стало "normalized": false"
"хоть что-то хорошее"
))
"хоть что-то хорошее"
))
RS
а индекс в эластике есть?
RS
max
"В событии стало "normalized": false"
"хоть что-то хорошее"
))
"хоть что-то хорошее"
))
ну это, по крайней мере, даёт основания поискать виноватых дальше
m
/me думает, что MP SIEM должен помогать в постижении дзен
RS
событие и нормализовано, и не нормализовано одновременно
А
Индекс появился с датой 17 Apr
m
событие и нормализовано, и не нормализовано одновременно
Шрёдингер одобряет
RS
max
Шрёдингер одобряет
а кот?
m
ну таки теперь выбратьв се события за 17 апреля и найти там нужное?
RS
АФ
Индекс появился с датой 17 Apr
и событие есть
RS
круг подозреваемых сужен