Разница в уровнях использования. Если бы мы тут все знали как именно работает СИЕМ под капотом (любой), могли бы одной левой писать формулы нормализации с закрытыми глазами и вообще парсили бы логи прямо в мозг там же это всё коррелируя, то мы... были бы не нужны, ибо кому ты продашь свои мозги, когда все это и так умеют.

Таким образом я поддержу мнение о том, что для разного уровня специалистов требуется разный уровень тулзов и их применения. И попытки навязать пользователю СИЕМа работу сугубо в консоли вызовут яростное сопротивление, и "такого слона ты не продашь". Тем не менее это не означает, что консоль не нужна. Для "глубоких" экспертов это маст хэв. Поэтому я не вижу противоречия в соседстве гуя и консоли, для разных уровней компетенций.

Единственный нюанс тут это то, что обычно "фарш не провернуть назад", то есть юзерскую самописную формулу зачастую обратно в гуй не распарсишь. Но это и хорошо. Желающего это подтолкнет к дальнейшему изучению языка ХР, а нежелающий заплатит деньги знающему, чтобы тот ему сделал красиво (как и в аналогии с тачками - кто-то в гараже любит поковыряться, кому-то проще в сервис сдать).

Единственная проблема это расхождение в показаниях cli и гуя, но мы работаем над этим :)

а планируется дебагер запихнуть в PTKB?

Это вопрос не ко мне, увы)

Мой ответ такой — утилиты не помогают лучше разобраться в воркфлоу работы с событием, т.е. до какого-то момента это было актуально ( до появления UI), но с его появлением смысла все меньше, а когда и если его допилят, я даже не могу придумать для чего может понадобиться условный normalize.exe

А если уж что-то «под капотом» пошло не так и «оно должно парситься как задокументировано , но не парсится», то это точно не забота пользователя системы, а работа поддержки

Лимит откровений превысил на сегодня, ну ладно... предпраздничный же день. Изначально PT KB встраивался в SIEM как среда разработки всего контента. Но одной среды разработки недостаточно, нужна еще среда тестирования и отладки. Это те элементы, которые должны будут появиться в PT KB, дабы дать полный workflow по работе с контентом.

Пока мы сосредоточены на той части, что называется среда разработки.

Следующим будет среда отладки и тестирования.

К сожалению сделать сразу и все не получается :(

Это очень хорошие новости

Жду релиза R21 больше чем финала Игры престолов

Главное - чтобы к R21 половина героев не погибла.

Ничосе тред;)

Стоило отвлечься на минутку, а тут такое))

Какая R21? В прошлом году же была 4.0. Или я что-то путаю?

Мы все никак полностью не перейдем на формат x.x.

????
Боюсь спросить: "а что мешает?" ))

Слишком много фича реквестов))