Elasticsearch SIEM nefunguje, ale EQL dotaz je ok

Question 1

Mám nějaké problémy s mým LOSŮ běží na docker. Udělal jsem ssl na tls a http a tryied, aby se jednoduché EQL-dotaz:

sequence by winlog.computer_name 
[iam where event.code == "4720"] 
[iam where event.code == "4726"]

Když jsem klikněte na zobrazit výsledky vidím hity náhled výsledků

ale když se snažím reprodukovat upozornění, že je nulový hity v indexu

.siem-signály-default-*

Mám nějaké varuje, z mého elasticsearch-kontejner:

{"type": "server", "timestamp": "2021-10-25T12:37:33,433 Z", "level": "VAROVAT", "component": "o.e.x.s.t.n.SecurityNetty4HttpServerTransport", "clusteru.name": "elastdocker-clusteru", "uzel.name": "elastdocker-node-0", "zpráva": "obdržel holý provoz http na https kanálu, uzavření spojení Netty4HttpChannel{localAddress=/172.20.0.5:9200, remoteAddress=/172.20.0.2:43450}", "clusteru.uuid": "oZsivcyzROWSooXVIPzbKQ", "uzel.id": "KIjWJ0OjSW-lYt51cO8ViQ" }

Kde je problém? Nějaké nápady?

Question 2

To pomůže:

PUT /_cluster/settings
{
  "persistent" : {
    "xpack" : {
      "monitoring" : {
        "migration" : {
          "decommission_alerts" : "true"
        }
      }
    }
  },
  "transient" : { }
}

Dalador · Answer 1 · 2021-10-29T13:53:13

To pomůže:

PUT /_cluster/settings
{
  "persistent" : {
    "xpack" : {
      "monitoring" : {
        "migration" : {
          "decommission_alerts" : "true"
        }
      }
    }
  },
  "transient" : { }
}

Elasticsearch SIEM nefunguje, ale EQL dotaz je ok

Otázka

Nejlepší odpověď

V jiných jazycích

Tato stránka je v jiných jazycích

Populární v této kategorii

Oblíbené položky v této kategorii