если я сначала тех. часть (без детектива и прелюдии) напишу тут для всеобщего обсуждения и согласования, а потом отправлю на хотлайн, нормально?

ну тут сами смотрите. можно и общественное рассмотрение устроить.

Главное в процессе следственных действий не выйти на самих себя (с)

В результате проведения расследований по ИБ, возникла следующая потребность - необходимо иметь возможность оперативного и удобного поиска подключения в журнале IP пакетов по его реальному белому IP адресу. На текущий момент крайне затруднительно сопоставить VPN пользовтаеля с белым IP адресом с которого данное подключение осуществлялось, т.к. в лог заносится только информация о VPN IP адресе подключения. Хотя информация о белом IP адресе удаленного VPN пользователя имеется в каждом IP пакете, отправленном этим самым пользователем.

Так для того, чтобы понять какой обмен данными по VPN был с конкретным белым IP адресом, надо сначала смотреть системный жунал, по системному журналу искать vipnetid и только по vipnetid уже можно просматривать журнал регистрации ip пакетов, что крайне не удобно и затрудняет поиск, особенно это актуально для оперативного расследования в реальном времени.

Просьба добавить в iplir view поля реальных IP адресов источника и назначения. С возможностью сортировки и поиска по ним.

З.Ы. Коллеги, если дополните уместными пожеланиями по данному вопросу - включу в запрос. если получится продавить, всем будет хорошо.

Коллеги, приветствую. Провожу рассылку СКД на узлы с изменением ключевой информации  (состояние А), при этом время применение через 5 часов. Позже делаю рассылку СКД, но состоянием B и время применения ставлю через 3 часа. Будет ли после состояние B применятся состояние А?
Важно иметь ввиду А и Б совершенно разные состояния.
СКД связано с изменением персональных ключей.
Спасибо

Сначала обновление В потом А применится

Но В уже будет содержать в себе все обновы А

То есть если я сильно накосячил, но обнова применится через 5 часов, я могу разослать противоположное обновление с применением через 3 часа и пользователи не заметяти изменений?

Так через 5 часов применится обновление А

Лучше наверно на 5 часов + 10 минут отправить обновление В

Хотя нет

Проще отправить обновление А на сутки вперед и просто вычистить все обновы разосланные если они оказались плохими

а еще вопрос такой. какой статус в mftp view на конверте должен стоять, чтобы понять дошли они или нет до пользователя.....я все время знал, но щас че то туплю и вспомнить не могу

Send

Там их не много состояний

Вычистить имеется ввиду на координаторах катологи почистить?

Да /opt/vipnet/user/ccc

Кажется каталог ccc там лежит

send это значит отправлены?

Да