« LINUX:Wazuh-WUI-Maintenance » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 36 : | Ligne 36 : | ||
=Shards= | =Shards= | ||
Dans la base de données de Wazuh-Indexer, les différentes alertes sont rassemblées par paquets nommés "shards". Le premier découpage est fait par jour-mois-année; nommé "wazuh-alerts-4.x-<année>.<mois>.<jour>". Par défaut, il y a 3 paquets par jour et pas de répliqua. Donc pour une année de 365 jours, nous avons 365*3=1095 paquets. En plus, il y a 2 autres paquets par semaine, nommés "wazuh-monitoring-<année>.<n° de semaine>w" et "wazuh-statistics-<année>.<n° de semaine>w". Ce qui nous fait 52*2=104 paquets. Enfin il y a 4 paquets commençants par un point. | Dans la base de données de Wazuh-Indexer, les différentes alertes sont rassemblées par paquets nommés "shards". Le premier découpage est fait par jour-mois-année; nommé "wazuh-alerts-4.x-<année>.<mois>.<jour>". Par défaut, il y a 3 paquets par jour et pas de répliqua. Le nombre de paquets par jour et de répliquas sont paramétrables. Donc pour une année de 365 jours, nous avons 365*3=1095 paquets. En plus, il y a 2 autres paquets par semaine, nommés "wazuh-monitoring-<année>.<n° de semaine>w" et "wazuh-statistics-<année>.<n° de semaine>w". Ce qui nous fait 52*2=104 paquets. Enfin il y a 4 paquets commençants par un point. | ||
(.kibana_1, .opendistro-reports-definitions, .opendistro-reports-instances, .opendistro_security) | (.kibana_1, .opendistro-reports-definitions, .opendistro-reports-instances, .opendistro_security) | ||
'''Ces 4 là ne doivent en aucun cas être effacés !!!''' Au total pour une année, nous avons 1203 paquets. | '''Ces 4 là ne doivent en aucun cas être effacés !!!''' Au total pour une année, nous avons 1203 paquets. | ||
| Ligne 101 : | Ligne 101 : | ||
Pour une question de performance, il est conseillé de se limiter à 1000 paquets. D'autre part, plus vous chargez de paquets en mémoire, à un certain moment, elle sera toute utilisée et c'est le swap qui rentre en action. Alors la réactivité de votre machine chute drastiquement. Il est possible de limiter ce nombre chargé; je n'ai pas testé cette possibilité. | Pour une question de performance, il est conseillé de se limiter à 1000 paquets. D'autre part, plus vous chargez de paquets en mémoire, à un certain moment, elle sera toute utilisée et c'est le swap qui rentre en action. Alors la réactivité de votre machine chute drastiquement. Il est possible de limiter ce nombre chargé; je n'ai pas testé cette possibilité. | ||
=Elimination de Shards= | |||
En conséquence des différents points évoqués ci-dessus, il faut limiter le nombre de paquets présents. La première question a se poser est: Combien de temps en arrière désirons-nous revenir en arrière? J'ai choisi 3 mois plus le mois en cours. Périodiquement, il faut éliminer les plus anciens. | |||
Voici une procédure en exemple: | |||
---- | |||
#!/bin/bash | |||
ANNEE=2022 | |||
MOIS=09 | |||
curl --silent -X GET -k -u admin:admin <nowiki>https://localhost:9200/_cat/shards</nowiki> | grep "\-$ANNEE.$MOIS." | awk {'print $1'} | sort -u > delete.shards.txt | |||
cat delete.shards.txt | xargs -i curl -k -XDELETE -u admin:admin <nowiki>"https://localhost:9200/{}"</nowiki> | |||
---- | |||
Avant de lancer ce script, on adapte les variables "ANNEE" et "MOIS" en fonction de l'année et du mois dont on veut éliminer des paquets. La procédure consiste à créer une liste des paquets suivant la commande vue plus haut. On sélectionne les paquets que l'on trie en éliminant les doublons. Le résultat est placé dans un fichier. Le contenu de ce fichier est dirigé vers une commande qui permet de détruire ces paquets. | |||
Voici le contenu du fichier "delete.shards.txt": | |||
---- | |||
wazuh-alerts-4.x-2022.09.01 | |||
wazuh-alerts-4.x-2022.09.02 | |||
wazuh-alerts-4.x-2022.09.03 | |||
wazuh-alerts-4.x-2022.09.04 | |||
wazuh-alerts-4.x-2022.09.05 | |||
wazuh-alerts-4.x-2022.09.06 | |||
wazuh-alerts-4.x-2022.09.07 | |||
wazuh-alerts-4.x-2022.09.08 | |||
wazuh-alerts-4.x-2022.09.09 | |||
wazuh-alerts-4.x-2022.09.10 | |||
wazuh-alerts-4.x-2022.09.11 | |||
wazuh-alerts-4.x-2022.09.12 | |||
wazuh-alerts-4.x-2022.09.13 | |||
wazuh-alerts-4.x-2022.09.14 | |||
wazuh-alerts-4.x-2022.09.15 | |||
wazuh-alerts-4.x-2022.09.16 | |||
wazuh-alerts-4.x-2022.09.17 | |||
wazuh-alerts-4.x-2022.09.18 | |||
wazuh-alerts-4.x-2022.09.19 | |||
wazuh-alerts-4.x-2022.09.20 | |||
wazuh-alerts-4.x-2022.09.21 | |||
wazuh-alerts-4.x-2022.09.22 | |||
wazuh-alerts-4.x-2022.09.23 | |||
wazuh-alerts-4.x-2022.09.24 | |||
wazuh-alerts-4.x-2022.09.25 | |||
wazuh-alerts-4.x-2022.09.26 | |||
wazuh-alerts-4.x-2022.09.27 | |||
wazuh-alerts-4.x-2022.09.28 | |||
wazuh-alerts-4.x-2022.09.29 | |||
wazuh-alerts-4.x-2022.09.30 | |||
---- | |||
Cette procédure peut être adaptée en fonction des besoins. Par exemple pour détruire les paquets d'une année entière ou pour effacer les paquets hebdomadaires. | |||