Wazuh索引设置

Question

大家好，希望你们一切顺利。我对Wazuh索引有意见。来自代理向管理员wazuh发出的警告，我在每个配置中设置为使用索引filebeat*及其工作方式。在Kibana网站上，我可以看到，每天都有新的指数被创造出来。文件-2022.02.19。但是..。此外，还建立了指数、指数、统计数据和监测指标。它包含许多警报，但我希望wazuh只使用一个文件-*。

索引

我删除了那些索引。我删除了这些索引的模板。我设置了wazu-template.json，并且所有在/usr/share/file节拍/模块/wazuh和/usr/share/kibana中的所有信息都只使用file节拍-*.但有数据的新指数正在形成。

你能帮我一下吗？谢谢。

Answer 1

是否有特定的原因需要将警报注册到文件节拍索引中？

根据文件，每个默认索引都有特定的用途，建议根据提供的更好的兼容性使用它们。

• .wazuh索引存储Wazuh凭据和有关当前使用的Wazuh的有用信息。
• . installation索引包含当前版本或安装日期等信息。
• .kibana索引由kibana本身使用，并存储有关wazuh索引的信息。它不打算由用户修改。
• 警报-*存储实际的警报数据。你可以改变他们的名字，但仍然建议将它们分开。
• 监控指数保存着特工的信息。对于这些，您可以配置插入频率。它们可以被禁用，但是您会从Wazuh插件的概述仪表板中失去“代理状态”可视化。

我相信你能以官方支持的方式实现你的目标。

你好，费德