Телеграмм чат группы MPSIEMChat страница 990

Капибара

Ну тоже подойдет же, не?

нет
historical отвечает за фазу нормализации исключительно
к сбору с источника оно не имеет никакого отношения

14:52пожаловаться #1

Капибара in MaxPatrol SIEM

Roman Sergeev

нет
historical отвечает за фазу нормализации исключительно
к сбору с источника оно не имеет никакого отношения

Уже выяснили, что я перепутал с другим ключом. За давностью.

14:52пожаловаться #2

Ivan Yakushev in MaxPatrol SIEM

Roman Sergeev

нет
historical отвечает за фазу нормализации исключительно
к сбору с источника оно не имеет никакого отношения

я же правильно помню что в случае historical:true -> time=recv_time?

14:52пожаловаться #3

Ivan Yakushev

я же правильно помню что в случае historical:true -> time=recv_time?

нет

14:53пожаловаться #4

Ivan Yakushev in MaxPatrol SIEM

а как

14:53пожаловаться #5

если не вписывается в интервал -24 .. +1 в часах то тогда time=recv_time

14:53пожаловаться #6

Anryal

если не вписывается в интервал -24 .. +1 в часах то тогда time=recv_time

это если false

14:54пожаловаться #7

true эту логику отключает

14:54пожаловаться #8

да если false

14:54пожаловаться #9

true то ничего не меняется

14:54пожаловаться #10

исключение - ненормализовавшиеся события
у них всегда time = recv_time, т.к. других вариантов нет

14:54пожаловаться #11

Ivan Yakushev in MaxPatrol SIEM

спасибо что освежили

14:55пожаловаться #12

и когда происходит замена time = recv_time то время из события попадает в original_time

14:57пожаловаться #13

Кац in MaxPatrol SIEM

есть там поиск в контенте

15:16пожаловаться #14

Кац in MaxPatrol SIEM

"регулярное выражение"

15:16пожаловаться #15

Кац in MaxPatrol SIEM

ты можешь указать id и найдешь именно id

15:16пожаловаться #16

рили

15:17пожаловаться #17

ларчик просто открывался

15:17пожаловаться #18

при установке контента - Response status code does not indicate success: 500 (Internal Server Error).

15:33пожаловаться #19

сталкивался кто нибудь?