HT
я имел ввиду что никогда не был пользователем какого-то коробочного SIEM-а на эластике, а всеегда строил и продолжаю строить свою платформу на базе эластика самостоятельно из отдельных open source компонентов и самописных костылей
Size: a a a
2020 June 11
A
а чем тебе не удобна разбивка? Хотя бы та же просто по суткам. У тебя же есть еще индекс паттерны чтобы искать сразу в большом количестве индексов
при использовании ILM в ES7 сильно неудобна
A
я имел ввиду что никогда не был пользователем какого-то коробочного SIEM-а на эластике, а всеегда строил и продолжаю строить свою платформу на базе эластика самостоятельно из отдельных open source компонентов и самописных костылей
пробовал писать индексы в стиле как предлагает ILM ?
HT
уже больше года как
HT
в 2ух разных компаниях
HT
до ILM испробовали и дневные, и недельные, и месячные индексы - при наших масштабах и клиентах разных размеров (под каждого клиента свои индексы) это не работало
HT
ILM стало спасением, которое позволило обеспечить более менее одинаковый размер всех шардов и их равномерное распределение по нодам кластера
HT
в inhouse Elastic-е я бы наверно без ILM делал
A
бекапы через снапшот апи делаете ?
HT
не было необходимости
HT
задача решалась по другому
A
задача решалась по другому
на дешевых cold нодах хранить ?
HT
в одном месте использовалось сторонее по для бэкапов, в текущем скорее cold
A
в одном месте использовалось сторонее по для бэкапов, в текущем скорее cold
я так понимаю бекапились сами индексы или выгрузка из них
HT
типа того
A
Спасибо за ответы
Z
пробовал писать индексы в стиле как предлагает ILM ?
Нас ждёт что то интересное?;)
A
Нас ждёт что то интересное?;)
а сейчас недостаточно интересно?)))
Z
а сейчас недостаточно интересно?)))
show must go on
2020 June 12
NA
Всем привет. Небольшой вопрос. Если у вас есть вот такой вот фид (картинка). Для чего бы вы его использовали? Понимаю кейсы с заталкиванием в TIP и потом обогащением инцидентов или раздербанивания на атомарные индикаторы и заталкивание в SIEM. Может есть что-то еще?