Elasticsearch SIEM不工作,但EQL查询没有问题
Elasticsearch SIEM不工作,但EQL查询没有问题
提问于 2021-10-25 12:49:27
我的麋鹿在码头上跑有问题。我在tls和http上创建了ssl,并尝试进行简单的EQL-查询:
sequence by winlog.computer_name
[iam where event.code == "4720"]
[iam where event.code == "4726"]当我点击显示结果时,我会看到点击预演结果
但当我试图重现警报时,索引中的点击率为零
..siem信号-默认-*
我收到了一些来自elasticsearch-容器的警告:
{“类型”:“服务器”,“时间戳”:"2021-10-25T12:37:33,433Z",“级别”:“警告”,“组件”:"o.e.x.s.t.n.SecurityNetty4HttpServerTransport","cluster.name":“弹性停靠-集群”,"node.name":“弹性停靠-节点-0”,“消息”:“在https信道上接收明文http通信,关闭连接Netty4HttpChannel{localAddress=/172.20.0.5:9200,”。远程地址=/172.20.0.2:43450},"cluster.uuid":"oZsivcyzROWSooXVIPzbKQ","node.id":"KIjWJ0OjSW-lYt51cO8ViQ“}
问题出在哪里?有什么想法吗?
回答 1
Stack Overflow用户
发布于 2021-10-29 13:53:13
这有助于:
PUT /_cluster/settings
{
"persistent" : {
"xpack" : {
"monitoring" : {
"migration" : {
"decommission_alerts" : "true"
}
}
}
},
"transient" : { }
}页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/69708385
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号