глянь в правило обогащения.

там фильтр по локальным адресам

и серым

да

вижу

он совпадает с моей сетью

тогда смотри в события. если есть с внешними айпи - должно отработать

ок, подожду)

спасибо!

Продолжу топить за доступную базу знаний на портале ТП.
1. Сокращение времени решения проблем заказчика по уже известным проблемам. Переписка с ТП может занимать существенное время, а продукт не работает. Что есть негатив.
2. Свидетельствует о том, что продукт работает не только у разработчика, но и у других заказчиков. И что ты не  являешься 1м бета тестером призванным найти баги в продукте, на поиск которых у разработчика не хватило времени.
3. Свидетельствует, что кто-то этим продуктом пользуется, а не просто купили по формалке.
4. Это дополнительный источник знаний как устроен продукт. Документация не всегда точная и в некоторых местах содержит ошибки.

На портале ТП появился раздел SIEM и надо попробовать его побольше наполнять.

Он там вроде и так был. Только пустой.

Кейс со списками может быть первым ))
Через неделю из телеграмма его будет сложно доставать ))

могу на гитхабе опубликовать решение

На мой взгляд не стоит. Решение костыльное. Тому, кому горит, можно сделать через костыль. Остальным просто чуток подождать нового билда

День добрый. По поводу базы знания, категорчески поддерживаю. Если видите, ошибки в доках, заводите баги на док. Будем давать по шапке тестировкщикам... Да, документацию у нас тоже тестят )))

очень не хватает документации по правилам корреляции, как составлять грамотно с примерами и тд. Чтобы самому это процесс понять уйдет достаточно много времени

Мы планируем дальше развивать Development guide. Как раз это туда и должно войти.

то что есть - этого очень мало

при старте работы с сиемом (если не просто смотреть события и инциденты) волосы дыбом встают