如何将 wazuh 默认索引模式从每日 (wazuh-alerts-4.x-yyyy.mm.dd) 更改为每周 (wazuh-alerts-4.x-xxxx.ww)

How to change wazuh default index pattern from daily (wazuh-alerts-4.x-yyyy.mm.dd) to weekly (wazuh-alerts-4.x-xxxx.ww)

起初这似乎很容易,因为创建这个索引的配置在 /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json

    {
      "date_index_name": {
        "field": "timestamp",
        "date_rounding": "d",
        "index_name_prefix": "{{fields.index_prefix}}",
        "index_name_format": "yyyy.mm.dd",
        "ignore_failure": false 
      }
    },

但是将 index_name_format 更改为 'xxxx.ww' 并重新启动 filebeat,它仍然写入旧索引格式。有人知道我是否需要做任何其他事情让 filebeat 识别新的管道配置吗?

好的,所以在深入研究 Wazuh 文档后问题已解决。

首先,每周索引的格式应该是'YYYY.ww'

其次,原来 pipeline.json 被缓存到 elasticsearch 中,需要通过以下方式清除:

DELETE _ingest/pipeline/filebeat-7.10.2-wazuh-alerts-pipeline