索引端点
编辑索引端点
编辑您可以使用索引端点在 Kibana 空间中创建、获取和删除 .siem-signals-<Kibana-space>
系统索引。
信号索引存储检测警报。
有关创建 .siem-signals-<Kibana-space>
索引所需的权限和特权的信息,请参阅启用和访问检测。
当您创建信号索引时,将为该信号索引创建以下索引生命周期管理 (ILM)策略
{ "policy": { "phases": { "hot": { "min_age": "0ms", "actions": { "rollover": { "max_size": "50gb", "max_age": "30d" } } } } } }
policy
和 rollover_alias
使用与信号索引相同的名称。
为了减少热层上的混乱,我们强烈建议向此 ILM 策略添加删除操作。否则,信号索引将无限期地保留在您的热层上。
创建索引
编辑创建一个信号索引。索引的命名约定为 .siem-signals-<space name>
。
请求 URL
编辑POST <kibana 主机>:<端口>/api/detection_engine/index
响应代码
编辑-
200
- 指示调用成功。