我激活了 Kibana 中的所有规则。但有些规则处于失败状态。当我打开规则时显示此错误:
规则执行期间发生错误:消息:“linux_anomalous_network_port_activity_ecs,v2_linux_anomalous_network_port_activity_ecs丢失”名称:“异常Linux网络端口活动”id:“864e1b5b-a0e7-11ef-b29b-e1d86193c47a”规则id: “3c7e32e6-6104-46d9-a06e-da0f8b5795a0”信号索引:“.siem-signals-default”
首先,我查看规则查询并将其复制到 Discovery,我得到了一些结果。但规则中没有警报。
其次,我清除“.siem-signals-default”索引的缓存并刷新它。没有变化。
之后,我复制规则并使用我需要的索引修改规则,相同的查询和计划,新规则显示相同的错误。
遇到这种情况有人可以帮助我吗?
我用
ELK 7.17.25
Ubuntu 20.04
无需工作即可激活 ML。
我解决了问题,但我不知道为什么会这样。
“.siem-signals-default” 刷新或清除该索引的缓存不足以解决问题。我需要刷新索引。并将指标索引查询设置为 @timestamp >= "now-1h" 或刷新索引后的时间。
但是为什么会发生这种情况。