AL
Конец игры
Size: a a a
2019 June 06
NA
Опять новый SIEM с Endpoint?
SS
Alexey Lukatsky
Конец игры
Нет, это только начало
M
Вот вы все про сап, а как вам такой случай из практики. В одном отечественном решение логи хранятся в базе и как бы все норм (часть инфы разложена по колоночкам). Вот только доп. инфу ребята решили просто записать в бинарном виде в blob. Как тебе такое Илон Маск?
Часть бинарной инфы можно так же разложить по колонкам. Было бы желание. ))
RI
Пятница уже близко, теперь можно. Не понимаю паники по поводу бинарных логов - они гораздо удобнее, а самое главное - их обработка менее затратна с точки зрения производительности.
IH
Если формат понятен. Хуман ридбл часто понятен без дополнительных пояснений
DP
Ruslan Ivanov
Пятница уже близко, теперь можно. Не понимаю паники по поводу бинарных логов - они гораздо удобнее, а самое главное - их обработка менее затратна с точки зрения производительности.
Наверное потому что нужна прослойка в виде декодера. Негибко
IH
а так больше ядер какому-нибудь очередному богу, вай нот
DP
Если что-то поправить - нужен сразу другой спецскилл вместо парсинга и регулярок
RI
Наверное потому что нужна прослойка в виде декодера. Негибко
Прослойка в виде парсера вас не смущает?
RI
Наверное потому что нужна прослойка в виде декодера. Негибко
Нет, не нужна. Нужно просто знать бинарную структуру.
DP
Нет. Писать и править парсер - это совсем другие навыки, недели писать и править код, разбирающий бинари
RI
Нет. Писать и править парсер - это совсем другие навыки, недели писать и править код, разбирающий бинари
DP
Ну это не тайна. Как выглядит на практике-то?
RI
Если формат понятен. Хуман ридбл часто понятен без дополнительных пояснений
Если формат непонятен - вполне логично, что в SOC он не нужен?
RI
Ну это не тайна. Как выглядит на практике-то?
Сериализация - десериализация.
RI
Либо специальные бинарные форматы, которые специально для этого придумывались - например Netflow, sFlow, IPFIX из мира сетевой телеметрии
IH
Ruslan Ivanov
Если формат непонятен - вполне логично, что в SOC он не нужен?
имелось в виду, что это не какая-то проприетарная фигня, которая что-то показывает через свою консоль, а что и как надо реверсить без документации
RI
Вы просто привыкли к текстовым форматам и зациклились на них, а они самые неэффективные с точки зрения производительности логирования