docker - Elasticsearch SIEM 不工作,但 EQL 查询正常
问题描述
我的 ELK 在 docker 上运行时遇到了一些问题。我在 tls 和 http 上制作了 ssl,并尝试制作简单的 EQL 查询:
sequence by winlog.computer_name
[iam where event.code == "4720"]
[iam where event.code == "4726"]
当我单击显示结果时,我会看到结果的点击预览
但是当我试图重现警报时,它的索引命中率为零
.siem-signals-default-*
我从我的 elasticsearch-container 收到了一些警告:
{“类型”:“服务器”,“时间戳”:“2021-10-25T12:37:33,433Z”,“级别”:“WARN”,“组件”:“oexstnSecurityNetty4HttpServerTransport”,“cluster.name”:“elastdocker -cluster", "node.name": "elastdocker-node-0", "message": "在 https 通道上收到明文 http 流量,关闭连接 Netty4HttpChannel{localAddress=/172.20.0.5:9200, remoteAddress=/172.20。 0.2:43450}”,“cluster.uuid”:“oZsivcyzROWSooXVIPzbKQ”,“node.id”:“KIjWJ0OjSW-lYt51cO8ViQ”}
问题出在哪里?有任何想法吗?
解决方案
这有助于:
PUT /_cluster/settings
{
"persistent" : {
"xpack" : {
"monitoring" : {
"migration" : {
"decommission_alerts" : "true"
}
}
}
},
"transient" : { }
}
推荐阅读
- reactjs - 如何通过 Jenkins 从 Docker 容器中获取构建目录?
- c++ - 在 boost 日志中包含线程名称
- sql - 选择列过滤困难
- spring - 引起:java.lang.ClassNotFoundException:io.github.resilience4j.circuitbreaker.CircuitBreakerOpenException
- c# - 变量不覆盖 C#
- r - 如何将回归方程添加到r中的散点图
- python - 如何使用 python 记录器计算错误?
- git - OVH:云网络和 Gitlab-CI
- oracle - HikariProxyConnection 无法转换为 oracle.jdbc.OracleConnection
- facebook-graph-api - Facebook 在尝试使用沙盒广告帐户创建自定义受众时抛出奇怪的错误