IY
возможно наверно. я не тестил)
ну тогда я до сих пор не понял сарказма
Size: a a a
2019 April 30
IY
Переслано от Ivan Yakushev
Знания какие утилиты с какими параметрами надо запустить, чтобы по сути приложить регулярку на исходное событие мне кажутся избыточными, особенно в свете перехода UI в категорию Official
IS
Думаю тут к единому мнению не придем, все фломастеры...
NA
Из своей практики работы с разными SIEM могу сказать, что большая часть задач решается из UI, но есть случаи, когда приходится извращаться в консоле. Если бы ее не было я бы не знаю что делал. Т.о. UI и консоль спокойно живут вместе.
IY
я не говорю о том, что не надо знать как написать нормализацию, не надо знать токены и все такое
К
Gullible Beaver
На чем вы предпочли бы учиться отладке правил нормализации, корреляции, обогащения
Анонимный опрос
30%
Командная строка, так понятнее
42%
Unofficial UI, так удобнее
28%
PTKB, к черту отладку, я сложных правил все равно не пишу
На пткб, но в нем нужен встроенный отладчик
G
Я повторю свою мысль, почему я сделал опрос, который любезно припинил Володя. Я не спрашиваю вас в чем вам удобнее работать, мне интересно как вам было бы удобнее учиться отладке. В UI, где может быть неочевидно что делают эти кнопки, но можно выучить порядок их нажатия, или в CLI, который страшный, черный и чреват опечатками.
IY
но должно быть единое пространство, где все это может быть выполнено.
а не 100500 утилит + параметры
а не 100500 утилит + параметры
KM
но должно быть единое пространство, где все это может быть выполнено.
а не 100500 утилит + параметры
а не 100500 утилит + параметры
единое пространство не всегда работает корректно.
а когда "разделяй и властвуй", то легче разобраться. нет?
а когда "разделяй и властвуй", то легче разобраться. нет?
KM
в едином пространстве как дебажить? в случае c IDE от JetBrains или тех же Visual Studio все понятно. единая среда разработки, делай что хочешь. а тут другое
M
единое пространство не всегда работает корректно.
а когда "разделяй и властвуй", то легче разобраться. нет?
а когда "разделяй и властвуй", то легче разобраться. нет?
Это последствия того хаоса, которое порождает 100500 утилит с параметрами
IY
единое пространство не всегда работает корректно.
а когда "разделяй и властвуй", то легче разобраться. нет?
а когда "разделяй и властвуй", то легче разобраться. нет?
вот и я снова задаю вопрос, как "разделяй и влавствуй" в контексте нормализации помогает дебажить формулу?
K
Gullible Beaver
На чем вы предпочли бы учиться отладке правил нормализации, корреляции, обогащения
Анонимный опрос
30%
Командная строка, так понятнее
42%
Unofficial UI, так удобнее
28%
PTKB, к черту отладку, я сложных правил все равно не пишу
Какие интересные и ровные ответы :)
IY
UI все это делает в одном окне, тут же поправил, снова попробовал
IY
Да, пока есть косяки, но основные задачи он закрывает и я не вижу смысла держать миллион окон открытых и между ними переключаться
IY
А в идеале, чтобы это вообще в PTKB было, как уважаемый Кац написал
M
А что мешает в командной строке на сотню символов сделать то же самое? )) Есть же ещё блокнотик.
IY
Michael
А что мешает в командной строке на сотню символов сделать то же самое? )) Есть же ещё блокнотик.
))
KM
А в идеале, чтобы это вообще в PTKB было, как уважаемый Кац написал
в идеале да
IY
