如何将 wazuh 默认索引模式从每日 (wazuh-alerts-4.x-yyyy.mm.dd) 更改为每周 (wazuh-alerts-4.x-xxxx.ww)
How to change wazuh default index pattern from daily (wazuh-alerts-4.x-yyyy.mm.dd) to weekly (wazuh-alerts-4.x-xxxx.ww)
起初这似乎很容易,因为创建这个索引的配置在 /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json
{
"date_index_name": {
"field": "timestamp",
"date_rounding": "d",
"index_name_prefix": "{{fields.index_prefix}}",
"index_name_format": "yyyy.mm.dd",
"ignore_failure": false
}
},
但是将 index_name_format 更改为 'xxxx.ww' 并重新启动 filebeat,它仍然写入旧索引格式。有人知道我是否需要做任何其他事情让 filebeat 识别新的管道配置吗?
好的,所以在深入研究 Wazuh 文档后问题已解决。
首先,每周索引的格式应该是'YYYY.ww'
其次,原来 pipeline.json 被缓存到 elasticsearch 中,需要通过以下方式清除:
DELETE _ingest/pipeline/filebeat-7.10.2-wazuh-alerts-pipeline
起初这似乎很容易,因为创建这个索引的配置在 /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json
{
"date_index_name": {
"field": "timestamp",
"date_rounding": "d",
"index_name_prefix": "{{fields.index_prefix}}",
"index_name_format": "yyyy.mm.dd",
"ignore_failure": false
}
},
但是将 index_name_format 更改为 'xxxx.ww' 并重新启动 filebeat,它仍然写入旧索引格式。有人知道我是否需要做任何其他事情让 filebeat 识别新的管道配置吗?
好的,所以在深入研究 Wazuh 文档后问题已解决。
首先,每周索引的格式应该是'YYYY.ww'
其次,原来 pipeline.json 被缓存到 elasticsearch 中,需要通过以下方式清除:
DELETE _ingest/pipeline/filebeat-7.10.2-wazuh-alerts-pipeline