4.2.4 декабрь 2025

Основные изменения

• В универсальных таблицах добавлена возможность группировать фильтры в произвольные группы с помощью логических операторов: "или", "и", "не".
• Добавлен новый механизм разбора EXECVE, который позволяет разбирать тип событий EXECVE от компонента auditd, который используется в Unix системах.
• Добавлен новый механизм обогащения Корректировка времени, который позволяет добавлять в события данные, связанные со смещением времени.
• Добавлена возможность текстового поиска событий с помощью запросов с использованием логических операторов.
• Добавлена поддержка импорта данных сканирования активов от программы ScanOVAL.
• Добавлена поддержка протокола WinRM для удаленного сбора данных с активов.
• На форму просмотра профиля сбора добавлено отображение информации об отброшенных событиях.
• В универсальную таблицу и на форму просмотра правила корреляции добавлено отображение информации об используемых табличных списках.
• Теперь для виджета "Гистограмма" можно выбрать один из следующих способов построения: "с накоплением", "без накопления" или "нормированная".

• Добавлены следующие инструкции по первичной настройке платформы после установки:

  • Включение компрессии в сервисе OpenSearch;
  • Настройка оптимального количества обработчиков для сервиса Beaver;
  • Настройка оптимального количества обработчиков для сервиса Termit.

Источники

Обновлены инструкции по подключению следующих источников:

• OC семейства Unix:

  • добавлено описание настройки журналирования Bash-команд;
  • обновлен файл настройки аудита: /etc/audit/rules.d/extended.rules;
  • обновлено описание настройки журналирования UFW и firewalld.

• KVM Hypervisor. Libvirt;

• Microsoft SQL Server. Event Log.

Изменения в API

Добавлено описание следующих ресурсов:

• messages – управление сообщениями между пользователями платформы;
• agents – управление агентами сбора лог-коллектора;
• agent_modules – управление профилями сбора;
• input_sources – управление источниками событий информационной безопасности;
• retro_jobs – управление задачами ретроспективной корреляции.

Изменены следующие ресурсы:

• В ресурс logmule_go_rules добавлен метод search_with_update_reload, который возвращает найденные правила корреляции с учетом заданных фильтров и обновляет флаг reload (перезагрузка правила после обновления) в значение false (выключено).

Изменен метод /<ресурс>/search:

• теперь при использовании метода, можно включить поиск по всем родительским и дочерним связям объекта поиска. Возможность регулируется параметром extension_params;
• изменен формат фильтров (параметр filters) моделей, который теперь позволяет комбинировать их в произвольных группах с помощью логических операторов: "или", "и", "не".