› › ›

索引端点

索引端点编辑

您可以使用索引端点在 Kibana 空间中创建、获取和删除 .siem-signals-<Kibana-space> 系统索引。

信号索引存储检测警报。

有关创建 .siem-signals-<Kibana-space> 索引所需的权限和特权的信息，请参见启用并访问检测。

创建信号索引时，将为该信号索引创建以下索引生命周期管理 (ILM) 策略

{
  "policy": {
    "phases": {
      "hot": {
        "min_age": "0ms",
        "actions": {
          "rollover": {
            "max_size": "50gb",
            "max_age": "30d"
          }
        }
      }
    }
  }
}

policy 和 rollover_alias 使用与信号索引相同的名称。

为了减少热层上的混乱，我们强烈建议您为此 ILM 策略添加删除操作。否则，信号索引将无限期地保留在您的热层上。

创建索引编辑

创建信号索引。索引的命名约定为 .siem-signals-<空间名称>。

请求 URL编辑

POST <kibana 主机>:<端口>/api/detection_engine/index

示例请求编辑

在 Kibana siem 空间中创建信号索引。

POST s/siem/api/detection_engine/index

响应代码编辑

200: 表示成功调用。

获取索引编辑

如果信号索引存在，则获取其索引名称。

请求 URL编辑

GET <kibana 主机>:<端口>/api/detection_engine/index

示例请求编辑

获取 Kibana siem 空间的信号索引

GET s/siem/api/detection_engine/index

响应代码编辑

200: 表示成功调用。
404: 表示不存在索引。

示例响应编辑

索引存在时的示例响应

{
  "name": ".siem-signals-siem"
}

索引不存在时的示例响应

{
  "statusCode": 404,
  "error": "Not Found",
  "message": "index for this space does not exist"
}

删除索引编辑

删除信号索引。

这仅删除 Elastic Security 7.x 信号索引 (.siem-signals-<space-id>)。它 _不会_ 删除 8.x 警报索引 (.alerts-security.alerts-<space-id>)。

请求 URL编辑

DELETE <kibana 主机>:<端口>/api/detection_engine/index

示例请求编辑

删除 Kibana siem 空间的信号索引

DELETE s/siem/api/detection_engine/index

响应代码编辑

200: 表示成功调用。

« 批量规则操作标签端点 »