A
Либо по подписке можно пересылать лог на коллектор, а с него уже забирать любым удобным способом.
Уже, только это все та же проблема с нагрузкой на хосты и сеть
Size: a a a
2019 November 07
y
так вам же что в сисмон локигу делать, что в лог шиппере, один хрен ведь будет отъедать ресурсы на хосте)
A
Ну и + хотелось бы быть вендоронезависимым, те же битсы в проприетарный сием слать - головняк. А кто знает, что захочет закупить заказчик
A
так вам же что в сисмон локигу делать, что в лог шиппере, один хрен ведь будет отъедать ресурсы на хосте)
Ну события или вообще не генерятся и на диск не пишутся, или фильтруются апосля. Не мерил пока, но есть подозрение, что разница по загрузке есть. Ну и опять же, привязка к битсам, как к сборщику. От привязки к генератору логов то точно не убежишь, а от сборщика было бы здорово
y
ну знач nxlog ваше решение
A
Я всегда думал о нем, как о сборщике на линуксе. Он платный еще и винду мониторит?
ИК
Ну или rsyslog, одна фигня
A
Коллеги, раз уж пошла такая пьянка ;) кто-то знает агент, типа sysmon или osquery? В первом возможностей по комбинации фильтров пока маловато, второй вроде для вин7 не походит + не каждый согласится установить на пользовательские машины дополнительную БД.
Маловато возможностей sysmon? А можно пример "из жызни" ?
A
например, исполнение файла с параметрами командной строки: если параметр не позиционный, то его можно переставить на любое место, поэтому надо искать строки, начинающиеся с filename.exe и содержащие опцию -c controloption. Это можно сделать в сисмоне 10, если для группы задать reletion=and, но если таких фильтров несколько, то их уже не объединишь (a and b) or (c and d) в рамках одного event id
y
Я всегда думал о нем, как о сборщике на линуксе. Он платный еще и винду мониторит?
он есть платный и бесплатный под винду
A
Или хочу я мониторить запись в реестр, но некоторые exe туда пишут на регулярной основе. Я не могу их исключить по хэшу, только по пути\части пути
A
И самый облом, что в сисмоне пока вайлдкардов нет, чем тот же osquery хорош
A
он есть платный и бесплатный под винду
спасибо, будем смотреть!
RI
Коллеги, раз уж пошла такая пьянка ;) кто-то знает агент, типа sysmon или osquery? В первом возможностей по комбинации фильтров пока маловато, второй вроде для вин7 не походит + не каждый согласится установить на пользовательские машины дополнительную БД.
Взять osquery и допилить - не вариант?
A
Допилить до поддержки Win7? Думаю не вариант ;)
$
Допилить до поддержки Win7? Думаю не вариант ;)
$
x64 норм, 32 не держит. Сисмон тоже на w7 многое не поддерживает
RI
Допилить до поддержки Win7? Думаю не вариант ;)
Win7 лучше на что-то мигрировать, всё-таки.
A
Невмоей власти мигрировать
A
Звучитздорово, буду посмотреть, спасибо