@nikolaiav Проблема в том что те кто используют фиды - не покупают лишние, в отличии от агрегаторов

Пообсуждали и получили 0 конструктива. Замечательно.

Степан отвечает на другой вопрос. Хранимки в  РСУБД - это скорее аналог правила корреляции в SIEM, Стёпа прав.

В кеше
Но продолжайте переезжать с темы на другую.
Может быть те кто знают кроме ника(лекарство от желудка) что-то про вас ещё - возможно оценят

Да с чего это он прав, хранимые единицы всегда были процедуры и функции БД.

Что-то получили, но…

А что в кеше. Давайте про кеш БД.

Попробуйте с сием поиграться

Кеш бд или кеш ответов?

БД конечно.

SIEM не равно РСУБД, хотя и может быть построен вокруг неё.

Отдохните, пожалуй

Вы же не работали с БД, правда?

В бане, завтра достану.
Конечно не работал

Смотри какая штука: у СУБД в СИЕМ есть неприятный профиль нагрузки.
1. СУБД используется для записи частей данных из событий. Эти части потом читают правила корр. на потоке (чтение). В near-realtime СИЕМ (не таких как Splunk) есть поток событий, скажем в 30K EPS. Как правило, из этого потока 5-10K EPS вызывают работу с СУБД. Т.о. СУБД должна обеспечить обработку запросов именно с такой скоростью. Любая задержка = накопление очередей.
2. Эта же СУБД используется и в других операциях - почти full scan при поиске индикаторов.
3. Индикаторы часто обновляются, поэтому индексы часто перестраиваются, что вызывает доп торможение.

У меня так получается, что из 10 опрошенных 8 это делают в СИЕМ )

Клиентов или вообще?)

Вообще. Я говорю про своих знакомых в разных компаниях, кто использует СИЕМ

Интересно метрики бы посмотреть, насколько это быстро работает.

Грусть