SK
ITAM скорее, CMDB это нечто более серьезное и сложновнедряемое
Size: a a a
2021 September 23
P
В rvision уже есть
B
ну значит PT надо купить RVision
B
любую систему учета устройств, да. чтобы и видеокамеры и принтеры и спортивные часы не прошли незамеченными в корп. wifi
DP
Всем привет.
Возможно, кто-то тут уже успешно избавился от логстеша в ELK и реализовал обогащение событий прямо в beats.
Что использовали? Свой модуль к битам на go/script processor/что-то еще? Поток большой, эластиковый enrich indices не особо подходит.
Возможно, кто-то тут уже успешно избавился от логстеша в ELK и реализовал обогащение событий прямо в beats.
Что использовали? Свой модуль к битам на go/script processor/что-то еще? Поток большой, эластиковый enrich indices не особо подходит.
ЩП
Стандартная практика - выкинуть тормозной логстэш и поставить fluentd
DP
ну я пробовал сбор netflow им, не устроило.
IB
Есть более детальное сравнение? Какая разница в производительности? При каких условиях?
ЩП
При таком «запросе», могу сказать, что у меня точно такая же нога, но не болит.
DP
что не так с запросом? флюент не показал никаких плюсов в сравнении с логстешем в моей задаче. скорее наоборот
ЩП
Весьма субъективное сравнение, на 2к+ хостов свою задачу доставки логов он выполняет исправно да и нормализация логов на лету у него как-то более разумно сделана.
ЩП
В изначальном запросе про netflow ни чего небыло ведь
DP
Кстати, не пробовал обогащение на fluent. Как у него с этим, используешь?
ЩП
Нет, не пробовал, мне это не нужно.
Можно там чего-то вклеивать в сообщения, подозреваю, реализация - то еще говно
Можно там чего-то вклеивать в сообщения, подозреваю, реализация - то еще говно
DP
Ну это тоже отсечка по функциональности.
У меня и логстеш-то в основном из-за необходимости обогащения, а так с ним мороки капец
У меня и логстеш-то в основном из-за необходимости обогащения, а так с ним мороки капец
ЩП
У флюента плюсы только в производительности и нормализации, в остальном - такой же сорт говна.(ИМХО)
NA
Поздравляю, вы подошли к понимаю границ применимости Open Source SIEM
NA
А если серьёзно, то как-то ребята из RuSIEM говорили, что не нашли более производительной замены логстушу и флюенту и писали свое
RI
Решил пятничный наброс в четверг устроить?
NA
Это не наброс, а эпический факт. Поточная обработка событий на опенсорц - не самая сильная его сторона. Хранение и аналитика - норм, но поточность хромает