大家好,我希望你们一切顺利。我对Wazuh指数有意见。来自代理的警报到达经理wazuh,我在每个配置中都设置为使用索引filebeat-*及其工作方式。在Kibana网站上,我可以看到每天都创建了新的索引,例如filebeat-2022.0219。但是还创建了wazuh统计和wazuh监控索引。它包含许多警报,但我希望wazuh只使用一个filebeat-*。
指数
我删除了那些索引。我删除了这些索引的模板。我将wazuh-template.json以及/usr/share/filebeat/module/wazuh和/usr/share/kibana中的所有配置设置为仅使用filebeat-*。。。。但有数据的新指数正在形成
你能帮我吗?非常感谢。
是否有特定原因需要将警报注册到filebeat索引中?
根据文档,每个默认索引都有特定的用途,建议按照提供的方式使用它们以获得更好的兼容性。
- .wazuh索引存储wazuh API证书和有关当前使用的wazuh管理器的有用信息
- .wazuh版本索引包括您的当前版本或安装日期等信息
- kibana索引由kibana本身使用,并存储有关wazuh索引的信息。它并不意味着由用户修改
- wazuh-alerts-*存储实际的警报数据。您可以更改它们的名称,但仍建议将它们分开
- wazuh监控-*索引保存代理信息。对于这些,您可以配置插入频率。他们可以被禁用,但你会失去";代理人状态";Wazuh Kibana插件中Overview面板中的可视化
我相信你能以官方支持的方式实现你的目标。
谨致问候,Fede