nocproject.org

народ, есть какая-нибудь возможность посмотреть в правила которые загружены для классификации? не просто файлики с джейсонами, а именно активные сейчас, которые нок гоняет по каждому ивенту

zi_rus кстати про классификацию и ивенты: не починили баг, что некоторые правила не отрабатывали?

нет, сам пытаюсь разобраться, про это и спрашиваю, заебало что половина ивентов лесом идет

разбирались же, что это скорее наше локальное, но вот на чём остановились - не помню - то ли с коллекциями что, то ли нет...

lexus-omsk, ну вот я и хочу посмотреть локальное, у меня подозрение что в актуальной бд которую юзает нок что-то криво

свои, локальные правила не обязаны быть в json, достаточно только в базе?

Думаю попробовать сделать json, грохнуть из базы и синхронизировать по новой

lexus-omsk, у меня было как, было локальное правило, оно работало, его азкоммитили, и все наебнулось, навернякак в базе что-то криво встало, я не знаю какую базу дропнуть чтобы нок заново фалики перечитал или вообще посмотреть содержимое этой базы

вроде в монге правила живут

zi_rus: удалил старые правила из базы, закинул json через ./noc collection install, сделал классификатору kill -s HUP - не помогло

всё также попадают в unknown

так надо коллекции засинхронить

а, да, это тоже делал ./noc collection -s

я тогда не знаю куда думать

и дебаг толком не показывает ничего нового...

Matching class for event 53758ff14a5e683c2f9ab18f found: Unknown | Syslog (Rule: Unknown | Syslog) - и всё

да

если у кого есть возможность поправьте /etc/init.d/noc-launcher под debian. Банально \n не хватает после echo

кстати, пока копался с классификатором, нашёл неколько недочётов в своих правилах:

насколько я понимаю, для быстродействия лучше источник события писать как ^syslog$ вместо syslog, то же и с профилями ^Zyxel\.ZyNOS$

надо бы и те правила, которые уже в репо проверить на эту тему

что самое странное, после исправлений у меня отклассифицировались те события, что отказывались делать это раньше :)

хотя тестирование и до исправления показывало Matched

Dmitry11, тут?

lexus-omsk, ипическая сила, сделал как ты сказал, классификация заработала

_4ePTeHok, ты тут?

кто-нибудь из коммитеров живой есть?

ну вот как-то так, да... напихал loggin.info в классификатор, стал смотреть на разных этапах переменные и заметил

dvolodin, ты тут?

ага

сегодня в чате вообще никого не было

попросить закоммитить пару патчиков хочу

dvolodin, сделай пожалуйста NOC-1329

у меня сегодня опять разъездной день был

5 на неделе

:)

dvolodin, и еще вот это http://pastebin.com/FMzi0ZzH

закоммитил оба

спасибо

dvolodin, и если не сложно, посмотри на NOC-1298 - там проблема с коллизией в MIB и еще один json c ipv6, есть ли вообще функция для bin_to_ipv6

_4ePTeHok: пощупал flow editor?

zi_home: такой функции вроде не было, но можно сделать

это в классификаторе

если не сложно, сделай пожалуйста, а то такие трапы уже приходят

это уже когда разгребать следующую пачку буду

у меня коллекция SS7 трапов с Cisco ITP