Не работает алертинг

Dalador · October 25, 2021, 2:35pm

Всем привет. Столкнулся с проблемой. Поднял ELK на Docker, настроил SSL на TLS, http.
Алерты не приходят, хотя когда делаю предпросмотр результатов - хиты отображает. (Когда пытаюсь воссоздать алерт, алерт не приходит не пишет в индекс .siem-signals-default-*
, но хиты отображаются при предпросмотре результатов)
В чем может быть проблема? Мой EQL запрос:

sequence by winlog.computer_name 
[iam where event.code == "4720"] 
[iam where event.code == "4726"]

Dalador · October 29, 2021, 1:54pm

помогло:

PUT /_cluster/settings
{
  "persistent" : {
    "xpack" : {
      "monitoring" : {
        "migration" : {
          "decommission_alerts" : "true"
        }
      }
    }
  },
  "transient" : { }
}

system · November 26, 2021, 1:54pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.

Topic		Replies	Views
Обновление 7.17.10 > 8.13 Вопросы на русском языке docker	0	175	May 21, 2024
Перенос нод кластера в docker Вопросы на русском языке	4	766	February 11, 2021
Нет ли примера файлов конфигурации ELK (elastic+kibana+logsthash) с TLS при запуске через docker-compose? Вопросы на русском языке docker	2	765	July 24, 2021
Как сделать ристор снепшота на свежем docker container? Вопросы на русском языке	2	542	October 19, 2018
Docker + elasticsearc +whitelist Вопросы на русском языке	3	1589	May 23, 2017

Не работает алертинг

Related topics