Size: a a a

2020 May 14

Z

Zer🦠way in MaxPatrol SIEM
Opsec и по 10мб бывает
источник

К

Кац in MaxPatrol SIEM
тогда да, правда, не понимаю, откуда столько
источник

Z

Zer🦠way in MaxPatrol SIEM
все оттуда...
источник

К

Кац in MaxPatrol SIEM
это скока потока? 50к?
источник

Z

Zer🦠way in MaxPatrol SIEM
нет
источник

Z

Zer🦠way in MaxPatrol SIEM
ModuleHost-WinEventLog.dll расширение без цифры будет
источник

Z

Zer🦠way in MaxPatrol SIEM
надо по дате изменения файла смотреть
источник

Z

Zer🦠way in MaxPatrol SIEM
и да zip архивы логов wineventlog весят очень неплохо
источник

Z

Zer🦠way in MaxPatrol SIEM
источник

RS

Roman Sergeev in MaxPatrol SIEM
Zer🦠way
чтобы его запускать по расписанию
Можешь сунуть его в RemoteExecutor таску и агент будет выполнять это сам
источник

Z

Zer🦠way in MaxPatrol SIEM
Roman Sergeev
Можешь сунуть его в RemoteExecutor таску и агент будет выполнять это сам
вообще норм, да)
источник

e

e6e6e in MaxPatrol SIEM
Кац
норм решение вроде
Вроде, норм решение это когда в продукте есть штатный скрипт с возможностью задавать свои параметры. Справедливости ради - он, вроде, даже есть. Но раз у вас такое решение, то, видимо, он не очень удобен/работоспособен.
источник

RS

Roman Sergeev in MaxPatrol SIEM
e6e6e
Вроде, норм решение это когда в продукте есть штатный скрипт с возможностью задавать свои параметры. Справедливости ради - он, вроде, даже есть. Но раз у вас такое решение, то, видимо, он не очень удобен/работоспособен.
Ну я простой способ для "сейчас" предлагаю. Так то оно будет решено  нормальнее. Если агентов больше одного, то шедулить там что-то удалённо не очень прикольно
источник

К

Кац in MaxPatrol SIEM
e6e6e
Вроде, норм решение это когда в продукте есть штатный скрипт с возможностью задавать свои параметры. Справедливости ради - он, вроде, даже есть. Но раз у вас такое решение, то, видимо, он не очень удобен/работоспособен.
Норм решение - это управление ротацией логов через штатные механизмы. тоже самое, но обобщив. то есть rsyslog на линуксе, настраиваемая ротация в продукте на виндах.
источник

К

Кац in MaxPatrol SIEM
причем это управление в случае с виндой ещё и должно или настраиваться из продукта, или хотя бы управляться централизованно
источник

К

Кац in MaxPatrol SIEM
а лучше - и то, и другое, чтобы попадало в подход IaC
источник

e

e6e6e in MaxPatrol SIEM
Экспресс вопрос - в R22 инциденты перекочевали в PostgreSQL?
источник

RS

Roman Sergeev in MaxPatrol SIEM
нет
источник

D

Dips in MaxPatrol SIEM
e6e6e
Экспресс вопрос - в R22 инциденты перекочевали в PostgreSQL?
Нет
источник
2020 May 15

AS

Alexander Stepanov in MaxPatrol SIEM
В конфигах сервиса ядра можно задавать максимальное количество ротаций (10 по дефолту) и размер файла ротации 1 ГБ по дефолту. У агента для каждой задачи можно настроить ротацию церез справочник. У 3d party сервисов тоже ротация регулируется. И у SIEM Debian. Большая часть настроек ротации уже описана в руководстве админтстратора.
источник