В вашей среде может не быть индекса с предупреждениями Wazuh

Question

В вашей среде может не быть индекса с предупреждениями Wazuh

Я получаю эту ошибку, когда пытаюсь переустановить лося с помощью wazuh

-1

kibana elk wazuh

Источник

10 авг '21 в 09:51

1 ответ

Другие вопросы по тегам kibana elk wazuh

user10575620 03 сен '21 в 19:16 2021-09-03 19:16 · Answer 1 · 2021-09-03 19:16

Нам нужна более точная информация о вашем варианте использования, чтобы помочь вам устранить эту проблему.

Я рекомендую вам следовать руководству по удалению из официальной документации https://documentation.wazuh.com/current/user-manual/uninstall/elastic-stack.html, а после этого установить его снова https://documentation.wazuh. com / current / installation-guide / more-installation-alternatives / elastic-stack / all-in-one-deployment / unattended-installation.html .

Если вы хотите сохранить свою конфигурацию, обязательно сделайте резервную копию следующих файлов

         cp -p  /var/ossec/etc/ /var/ossec_backup/etc/client.keys
   cp -p /var/ossec/etc/  /var/ossec_backup/etc/ossec.conf 
   cp -p  /var/ossec/queue/rids/sender_counter /var/ossec_backup/queue/rids/sender_counter

Если вы внесли локальные изменения в любое из следующего, также сделайте их резервную копию:

      cp -p /var/ossec/etc/local_internal_options.conf /var/ossec_backup/etc/local_internal_options.conf 
cp -p  /var/ossec/etc/rules/local_rules.xml /var/ossec_backup/rules/local_rules.xml
cp -p  /var/ossec/etc/decoders/local_decoder.xml /var/ossec_backup/etc/local_decoder.xml

Если у вас централизованная конфигурация, вы должны сохранить:

cp -p /var/ossec/etc/shared/default/agent.conf /var/ossec_backup/etc/shared/agent.conf

При желании следующие файлы могут быть восстановлены для сохранения файлов журнала предупреждений и баз данных syscheck / rootcheck:

      cp -rp  /var/ossec/logs/archives /var/ossec_backup/logs/archives/*
cp -rp /var/ossec/logs/alerts  /var/ossec_backup/logs/alerts/*
cp -rp  /var/ossec/queue/rootcheck /var/ossec_backup/queue/rootcheck/*
cp -rp  /var/ossec/queue/syscheck /var/ossec_backup/queue/syscheck/*

После переустановки вам необходимо поместить эти файлы по их исходному пути.

Кроме того, если вы хотите сохранить свои индексы после перезапуска, рассмотрите возможность создания резервной копии своих индексов после этого блога https://wazuh.com/blog/index-backup-management/ .