› › ›

索引端点

您可以使用索引端点在 Kibana 空间中创建、获取和删除 .siem-signals-<Kibana-space> 系统索引。

信号索引存储检测警报。

有关创建 .siem-signals-<Kibana-space> 索引所需的权限和特权的信息，请参阅启用并访问检测。

创建信号索引时，将为信号索引创建以下索引生命周期管理 (ILM) 策略

{
  "policy": {
    "phases": {
      "hot": {
        "min_age": "0ms",
        "actions": {
          "rollover": {
            "max_size": "50gb",
            "max_age": "30d"
          }
        }
      }
    }
  }
}

policy 和 rollover_alias 使用与信号索引相同的名称。

为了减少热层上的混乱，我们强烈建议在此 ILM 策略中添加删除操作。否则，信号索引将无限期地保留在您的热层上。

创建索引

编辑

创建信号索引。索引的命名约定为 .siem-signals-<space name>。

请求 URL

编辑

POST <kibana 主机>:<端口>/api/detection_engine/index

示例请求

编辑

在 Kibana siem 空间中创建信号索引。

POST s/siem/api/detection_engine/index

响应代码

编辑

200: 表示调用成功。

获取索引

编辑

如果存在，则获取信号索引名称。

请求 URL

编辑

GET <kibana 主机>:<端口>/api/detection_engine/index

示例请求

编辑

获取 Kibana siem 空间的信号索引

GET s/siem/api/detection_engine/index

响应代码

编辑

200: 表示调用成功。
404: 表示不存在索引。

示例响应

编辑

索引存在时的示例响应

{
  "name": ".siem-signals-siem"
}

索引不存在时的示例响应

{
  "statusCode": 404,
  "error": "Not Found",
  "message": "index for this space does not exist"
}

删除索引

编辑

删除信号索引。

这仅删除 Elastic Security 7.x 信号索引 (.siem-signals-<space-id>)。它不会删除 8.x 警报索引 (.alerts-security.alerts-<space-id>)。

请求 URL

编辑

DELETE <kibana 主机>:<端口>/api/detection_engine/index

示例请求

编辑

删除 Kibana siem 空间的信号索引

DELETE s/siem/api/detection_engine/index

响应代码

编辑

200: 表示调用成功。

« 批量规则操作标签端点 »