Z
7 бед один reset 😆
воистину
Size: a a a
2020 May 18
ДБ
тоже ребутнуть что ли)
AS
Тогда попробуйте пробел в двойные кавычки взять)
Я не уверен что есть разница между null и любым несуществующим значением. Какая цель убрать параметр?
Я не уверен что есть разница между null и любым несуществующим значением. Какая цель убрать параметр?
ДБ
хочу чтобы сиемка отправляла уведомления по 25tcp без авторизации
Z
я тут на кластер из виртуалок эластик разобрал. сервер сиема теперь живет отдельно от эластика и вот что интересно, сервер сиема не потребляет более 6гб озу
Z
наблюдаю 5 дней уже
Z
но кушает цп)
RS
Значит такие у тебя корреляции и поток
Z
поток не большой да. 5,5 -8
AS
хочу чтобы сиемка отправляла уведомления по 25tcp без авторизации
С таким не сталкивался, но если не получится можно тикет завести, поищем
ДБ
SmtpSender параметрэто имя почтового сервера?
Z
хочу чтобы сиемка отправляла уведомления по 25tcp без авторизации
у меня так и отправляет
Z
SmtpPassword = '' (String)
AS
SmtpSender параметрэто имя почтового сервера?
В админгайде есть приложение там описаны все параметры, их значения, значение по умолчанию. Сейчас нет под рукой. А в гайде 19й версии был раздел про настройку уведомлений
ДБ
ок, посмотрю
ДБ
Тогда попробуйте пробел в двойные кавычки взять)
Я не уверен что есть разница между null и любым несуществующим значением. Какая цель убрать параметр?
Я не уверен что есть разница между null и любым несуществующим значением. Какая цель убрать параметр?
работает с 2 ковычками и пробелом
RS
поток не большой да. 5,5 -8
в целом, больше всего от структуры правил зависит
самый тяжёлый по памяти сценарий такой:
A and|-> B within X
одно из событий очень редкое (например алерт от СЗИ, срабатывание хорошего IOC-а), а второе очень частое (например, logon с типом 3)
при этом ключ связи практически уникален (logon_id, идентификатор сессии и т.п)
тут будет примерно линейная зависимость по памяти от потока частых событий
самый тяжёлый по памяти сценарий такой:
A and|-> B within X
одно из событий очень редкое (например алерт от СЗИ, срабатывание хорошего IOC-а), а второе очень частое (например, logon с типом 3)
при этом ключ связи практически уникален (logon_id, идентификатор сессии и т.п)
тут будет примерно линейная зависимость по памяти от потока частых событий
Z
мдэ
RS
что с этим делать, примерно понятно, но пока надо иметь в виду
средства диагностики скоро будут внутри продукта (совсем внутри они есть и на них работает управляемая деградация)
средства диагностики скоро будут внутри продукта (совсем внутри они есть и на них работает управляемая деградация)
RS
фактически, так получается, когда хочется в алерт по фактическому детекту добавить инфы из события начала сессии/логина
т.е. мы не коррелируем с ним, а просто из него обогащаем
поэтому если есть возможность фильтрануть это "частое" событие по каким-то параметрам, лучше это сделать
т.е. мы не коррелируем с ним, а просто из него обогащаем
поэтому если есть возможность фильтрануть это "частое" событие по каким-то параметрам, лучше это сделать