wazuh的dashboard中security events不更新问题解决建议

直接说结果版:

Dashboadr使用的OpenSearch集群已达到最大分片数量限制(1000个),而当前操作还想再添加1个分片,所以导致验证失败。解决办法就是在页面的devtool里面先查看分片名称,之后删除较早的,之后就解决了,命令如下:

查看分片:GET /_cat/indices/wazuh-*?v

删除分片:DELETE /wazuh-alerts-4.x-2024.0*.*?pretty

完整叙述版:

某日,打开亲手部署的wazuh,想看看有没有料,结果:

我*?我数据呢?咋不更新了?

于是在后台各种检查:

存储满了?df -h 没有啊,好多呢

内存满了?Free -g 也不是啊,虽然free是0,但可用还有呢,不管了,直接清一下,结果free有了,结果还不行

重启一下服务

Dashboad、filebeat乱七八糟的一通重启,不好使。

为毛呢?

看一下报错信息日志吧

journalctl -u wazuh-dashboard | grep -i -E "error|warn"

诶?我去,这啥?哦,分片满了

想了想怎么删,不会啊,知识盲区。

报错信息喂给deepseek,告诉我去删分片,但是也没有详细的执行步骤。

看着命令有些眼熟,哦,dev tool试试。

这里面执行一下

GET /_cat/indices/wazuh-*?v

还挺多,分类显示一下,支持通配符*

GET /_cat/indices/wazuh-alerts-4.x-2024.03*?v

这是没有的意思

用下面这句,删一个试试

DELETE /wazuh-alerts-4.x-2024.03.23?pretty

删一个月的试试:

DELETE /wazuh-alerts-4.x-2024.04.*?pretty

删所有的个位数月份的:

DELETE /wazuh-alerts-4.x-2024.0*.*?pretty

执行了之后,等会儿,dashboard里看看:

看见右下角那一小点点的小可爱了吗?有更新了,问题解决。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值