Регистрация Войти
Рейтинг:1
Blason R avatar Server

Мой эластичный поиск не показывает никаких данных с использованием эластичного агента

флаг eg
Blason R

Удивительно, но моя эластичная версия 7.15 с базовой лицензией установила сервер флота, а затем настроила политику Windows с эластичной конечной точкой и интеграцией с Windows. Включили все правила; однако я не вижу никаких приложений безопасности журналов. Я специально использую Foot Server для регистрации агентов и сбора журналов Windows. Добавил агент Windows на мой контроллер домена, а также на ADC, но до сих пор не видит никаких журналов.

Любая подсказка, почему? Кроме того, я постоянно вижу ниже журналы в kibana.log.

{"type":"log","@timestamp":"2021-10-07T22:43:49+05:30","tags":["информация","плагины","securitySolution"],"pid ":1102,"message":"[+] Завершено индексирование 0 сигналов, найденных между диапазонами дат [\n {\n \"до\": \"2021-10-07T17:13:49.667Z\",\n \ "from\": \"2021-10-07T17:04:49.667Z\",\n \"maxSignals\": 100\n }\n] имя: \"Доступ к SystemKey через командную строку\" id: \" c2c1fbc1-229f-11ec-803f-17c1b2345c64\" идентификатор правила: \"d75991f2-b989-419d-b797-ac1e54ec2d61\" индекс сигналов: \".siem-signals-default\""}
{"type":"log","@timestamp":"2021-10-07T22:43:49+05:30","tags":["ошибка","плагины","securitySolution"],"pid ":1102,"message":"Во время выполнения правила произошла ошибка: сообщение: \"index_not_found_exception: [verification_exception] Причина: Найдено 1 проблема\nстрока -1:-1: Неизвестный индекс [*,-*]\" имя: Идентификатор \"Очистка журналов событий Windows\": \"c2c1fbd5-229f-11ec-803f-17c1b2345c64\", идентификатор правила: \"d331bbe2-6db4-4941-80a5-8270db72eb61\", индекс сигналов: \".siem-signals-default \""}
 {"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["ошибка","плагины","securitySolution"],"pid ":10188,"message":"Произошла ошибка во время выполнения правила: сообщение: \"index_not_found_exception: [verification_exception] Причина: Найдено 1 проблема\nстрока -1:-1: Неизвестный индекс [*,-*]\" имя: \"Подозрительное создание исполняемого файла службы PrintSpooler\" ID: \"c2c2710c-229f-11ec-803f-17c1b2345c64\" ID правила: \"5bb4a95d-5a08-48eb-80db-4c3a63ec78a8\" индекс сигналов: \".siem-signals -По умолчанию\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["ошибка","плагины","securitySolution"],"pid ":10188,"message":"Произошла ошибка во время выполнения правила: сообщение: \"index_not_found_exception: [verification_exception] Причина: Найдено 1 проблема\nстрока -1:-1: Неизвестный индекс [*,-*]\" имя: «Необычное создание файла — альтернативный поток данных». Идентификатор: «c2c41eb3-229f-11ec-803f-17c1b2345c64». сигналы по умолчанию\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["ошибка","плагины","securitySolution"],"pid ":10188,"message":"Произошла ошибка во время выполнения правила: сообщение: \"index_not_found_exception: [verification_exception] Причина: Найдено 1 проблема\nстрока -1:-1: Неизвестный индекс [*,-*]\" имя: «Сохранение через стандартный поставщик реестра WMI». Идентификатор: «c2c445ba-229f-11ec-803f-17c1b2345c64». Идентификатор правила: «70d12c9c-0dbd-4a1a-bc44-1467502c9cf6». -По умолчанию\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["ошибка","плагины","securitySolution"],"pid ":10188,"message":"Произошла ошибка во время выполнения правила: сообщение: \"index_not_found_exception: [verification_exception] Причина: Найдено 1 проблема\nстрока -1:-1: Неизвестный индекс [*,-*]\" имя: \"Рабочий Microsoft Exchange создает подозрительные процессы\" id: \"c2c445b7-229f-11ec-803f-17c1b2345c64\" id правила: \"f81ee52c-297e-46d9-9205-07e66931df26\" индекс сигналов: \".siem-signals -По умолчанию\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["ошибка","плагины","securitySolution"],"pid ":10188,"message":"Произошла ошибка во время выполнения правила: сообщение: \"index_not_found_exception: [verification_exception] Причина: Найдено 1 проблема\nстрока -1:-1: Неизвестный индекс [*,-*]\" имя: «Сохранение через Microsoft Outlook VBA». Идентификатор: «c2c3345f-229f-11ec-803f-17c1b2345c64». По умолчанию\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["ошибка","плагины","securitySolution"],"pid ":10188,"message":"Произошла ошибка во время выполнения правила: сообщение: \"index_not_found_exception: [verification_exception] Причина: Найдено 1 проблема\nстрока -1:-1: Неизвестный индекс [*,-*]\" имя: \"Сохранение с помощью сценария автозапуска KDE или модификации файла рабочего стола\" id: \"c2c3f7a8-229f-11ec-803f-17c1b2345c64\" id правила: \"e3e904b3-0a8e-4e68-86a8-977a163e21d3\" индекс сигналов: \". siem-сигналы-по умолчанию\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["ошибка","плагины","securitySolution"],"pid ":10188,"message":"Произошла ошибка во время выполнения правила: сообщение: \"index_not_found_exception: [verification_exception] Причина: Найдено 1 проблема\nстрока -1:-1: Неизвестный индекс [*,-*]\" имя: Идентификатор \"Установки поставщика поддержки безопасности\": \"c2c3344f-229f-11ec-803f-17c1b2345c64\", идентификатор правила: \"e86da94d-e54b-4fb5-b96c-cecff87e8787\", индекс сигналов: \".siem-signals- По умолчанию\""}
573
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.