m
а кот?
кот либо одобряет, либо нет
достоверно пока неизвестно.
достоверно пока неизвестно.
/me предлаает поискать за 17-е и если не найдем, то
curl http://elastic-server:9200/_refresh
и опять поискать через UI SIEM
Size: a a a
2020 April 26
m
А
взял в PTKB формулу нормализации под filemonitor и выдернул в одной из них пример лога. Подпихнул. Результат такой же. Индекс появился. normalized=true. В интерфейсе события нет. грабля где-то одна и та же.
RS
Ну так рефреш то прошёл?
А
max
/me предлаает поискать за 17-е и если не найдем, то
curl http://elastic-server:9200/_refresh
и опять поискать через UI SIEM
curl http://elastic-server:9200/_refresh
и опять поискать через UI SIEM
Тут Я не понял... Что надо сделать. Чуть чуть подробнее. мозг уже начинает отключаться
А
Всем спасибо. Определена глава в теории - поле time и historical. To MAX 👍
e
Открываю системное правило в R22 Work_at_non_working_time, а там такое:
(Login_success -> not Logout_success -> Any_action+) timer 8h
при этом событие Login_success это практически любой успешный логин, в том числе и сетевой.
За что ж вы так?
(Login_success -> not Logout_success -> Any_action+) timer 8h
при этом событие Login_success это практически любой успешный логин, в том числе и сетевой.
За что ж вы так?
2020 April 27
e
Я же правильно понимаю, что в R22 поле событий recv_time не индексируется?
Z
Открываю системное правило в R22 Work_at_non_working_time, а там такое:
(Login_success -> not Logout_success -> Any_action+) timer 8h
при этом событие Login_success это практически любой успешный логин, в том числе и сетевой.
За что ж вы так?
(Login_success -> not Logout_success -> Any_action+) timer 8h
при этом событие Login_success это практически любой успешный логин, в том числе и сетевой.
За что ж вы так?
🤣
MM
Крайне не рекомендую в таком стиле писать форматные строки, 99 процентов, что эта формула при деплое с остальными вызовет конфликт (этой формулой просто напросто начнут парситься события от других систем).
У вас в форматной строке сплошные токены и почти с самого начала стоит всеядный токен KEYVALUE.
Рекомендуется в форматной строке использовать как можно больше «якорей» в виде текстовых констант, чтобы при разборе события было за что зацепиться при соотношении события к формуле.
У вас в форматной строке сплошные токены и почти с самого начала стоит всеядный токен KEYVALUE.
Рекомендуется в форматной строке использовать как можно больше «якорей» в виде текстовых констант, чтобы при разборе события было за что зацепиться при соотношении события к формуле.
MM
Открываю системное правило в R22 Work_at_non_working_time, а там такое:
(Login_success -> not Logout_success -> Any_action+) timer 8h
при этом событие Login_success это практически любой успешный логин, в том числе и сетевой.
За что ж вы так?
(Login_success -> not Logout_success -> Any_action+) timer 8h
при этом событие Login_success это практически любой успешный логин, в том числе и сетевой.
За что ж вы так?
Само правило очень старое, фильтры и логика полноценно не пересматривались очень давно. Правило запланировано к пересмотру. Если есть конструктивные предложения - welcome )
e
Само правило очень старое, фильтры и логика полноценно не пересматривались очень давно. Правило запланировано к пересмотру. Если есть конструктивные предложения - welcome )
Привет!
Я не со зла, а чтобы заметили. Заметили правильные люди - уже хорошо )
Я не со зла, а чтобы заметили. Заметили правильные люди - уже хорошо )
e
Я же правильно понимаю, что в R22 поле событий recv_time не индексируется?
И до R22 оно, видимо, не индексировалось. Меня смутила возможность выполнять сортировку по этому полю в R21.1 (она работала некорректно). В R22 уже нет такой возможности.
e
Z
Кто нибудь разделял ноды эластика в мп сиеме по разным разделам?
e
Кто нибудь разделял ноды эластика в мп сиеме по разным разделам?
Купи уже SSD )
A
И до R22 оно, видимо, не индексировалось. Меня смутила возможность выполнять сортировку по этому полю в R21.1 (она работала некорректно). В R22 уже нет такой возможности.
Всю свою историю не индексировалось, а сорт убрали в 22 из-за того что не корректно работает сортировка для него.
A
Кто нибудь разделял ноды эластика в мп сиеме по разным разделам?
Йа
Z
Купи уже SSD )
Он есть
EM
Всем добра и здоровья!
Можно ли на all-in-one поменять hostname всех компонентов на другой без переустановки всего siem?
21 версия
Можно ли на all-in-one поменять hostname всех компонентов на другой без переустановки всего siem?
21 версия