A
Я правильно понимаю, что при ручном балансе правил в части нагрузки и иерархической корреляции, ничего не мешает на том же рэббите от 1 эксченджа взять 2 дублирующихся очереди и кормить этим 2/3/over9000 корреляторов?
Size: a a a
2019 June 08
RS
Я правильно понимаю, что при ручном балансе правил в части нагрузки и иерархической корреляции, ничего не мешает на том же рэббите от 1 эксченджа взять 2 дублирующихся очереди и кормить этим 2/3/over9000 корреляторов?
Если у вас корреляции независимы друг от друга по данным, то да
A
Если у вас корреляции независимы друг от друга по данным, то да
Тоненько
RS
В qrarar не просто так сделали разделение на global/local и flow/events/common
NA
Ну, в Q это сделали немного не из-за того. Там просто изначально исполнители разные были, так исторически сложилось. Да и движки корреляции отличаются. Тот, что отвечает за события достался IBM вместе с Q1 labs.
NA
Т.е. там просто так исторически сложилось. Это хорошо видно по тем ограничениям, которые появляются, когда начинаешь писать правило работающее на событиях сети и обычных событиях
RS
global и local не про разные источники же
NA
с g/l - да тут все верно :)
2019 June 11
P
Кто как детектит сканирование хоста нмапом на сурикате? Те надо бы правило, которое отслеживает сразу по отправителю и получению (те как режим both в глобальном) и чтобы детект был именно на 100 разных портов, скажем в течение 10 секунд (ибо может это просто сервера активно общаются, из-за этого нужно чтобы были обязательно разные порты)
A
Кто как детектит сканирование хоста нмапом на сурикате? Те надо бы правило, которое отслеживает сразу по отправителю и получению (те как режим both в глобальном) и чтобы детект был именно на 100 разных портов, скажем в течение 10 секунд (ибо может это просто сервера активно общаются, из-за этого нужно чтобы были обязательно разные порты)
*похоже на "Кто в русскую рулетку как играет"
2019 June 13
К
Да, такое возможно, но для этого нужно делать планировщик выполнения правил. Это уже на github не скачать и на коленке силами одного студента не сделать. Нужно найти очень хорошего спеца или команду и посадить только на эту задачу. Кто готов выкинуть тонну денег просто чтобы сделать планировщик?
Здесь имелось ввиду, что научить коррелятор распределять поток событий в соответствующий тред по фильтру, прибивая фильтр жестко к треду и выполняя операции с неизвестным временем выполнения асинхронно в неблокирующем режиме?
NA
Надо не только это уметь, но и знать какие правила с кем связаны и через какие общие ресурсы (таблички и т.д)
NA
Я тут был на технической презентации Yandex database. Там ребята рассказывали про решение задачи распределенных транзакций (как консистентно и детерменированно выполнить взаимосвязанные операции на множестве узлов).. Смежная область но часть проблем и решений очень похожа.
NA
Т.е. сделать честный распределённый коррелятор можно, но ооочень дорого. Вот такое у меня пока сложилось мнение :)
К
Надо не только это уметь, но и знать какие правила с кем связаны и через какие общие ресурсы (таблички и т.д)
общие ресурсы - имеется ввиду запись в таблички и синхронизация доступа в случае чтения?
12
Я тут был на технической презентации Yandex database. Там ребята рассказывали про решение задачи распределенных транзакций (как консистентно и детерменированно выполнить взаимосвязанные операции на множестве узлов).. Смежная область но часть проблем и решений очень похожа.
все упирается в CAP теорему)
NA
все упирается в CAP теорему)
CAP разрешима в любых 2х аспектах.
NA
общие ресурсы - имеется ввиду запись в таблички и синхронизация доступа в случае чтения?
Да
12
CAP разрешима в любых 2х аспектах.
у нас как никак данные безопасности
К
классический подход "не читать то, что не закоммиченно" чем не устроил?