Index Yaşam Döngüsü Yönetimi Dizin yaşam döngüsü yönetimi, bir dizinin yaşam döngüsünü kontrol ederek Wazuh dizinleyici kümesi performansını optimize etmeye yardımcı olur. Dizin devretme ve silme gibi periyodik işlemler gerçekleştirebilirsiniz. Bu periyodik işlemler Dizin Durumu Yönetimi (ISM) politikaları kullanılarak yapılandırılır. Dizin Durumu Yönetimi (ISM), bu operasyonel görevleri otomatikleştirmenizi sağlar. ISM kullanarak verileriniz için saklama politikaları gibi yaşam döngüsü politikalarını uygulayabilirsiniz. ISM, politikalarınıza ve dizin yaşı, boyutu ve belge sayısında algılanan değişikliklere göre dizin işlemlerini otomatik olarak tetikler. Bu bölümde, Wazuh dizinleyici depolama alanının optimizasyonu için dizin yaşam döngüsünü yönetmek üzere bazı yapılandırma seçenekleri ele alınmaktadır. Index Tutma Güvenlik standartları, verilerin denetimler için asgari bir süre boyunca erişilebilir tutulmasını gerektirir. Bu saklama süresinden daha eski veriler için, depolama alanından tasarruf etmek amacıyla verileri silmek isteyebilirsiniz. Silme işlemlerini otomatik olarak işlemek için belirli politikalar tanımlayabilirsiniz. Bu politikaları dizin geçişleri için de yararlı bulabilirsiniz. Bir Saklama Politikası Oluşturma Görsel Düzenleyiciyi Kullanma Sol üst menüye tıklayın  ☰ ,  Indexer yönetimine  gidin ve  Index Yönetimi'ni seçin.  Durum yönetimi politikalarını  seçin ve  Politika oluştur'a  tıklayın .  Görsel düzenleyiciyi  seçin ve  Devam'a tıklayın. Politika bilgisi  bölümüne benzersiz bir  Politika Kimliği  girin . Örneğin, wazuh-alert-retention-policy . İsteğe bağlı olarak politikayı  Açıklama  alanında tanımlayabilirsiniz . ISM şablonları  altında  Şablon ekle'ye  tıklayın ve bu politikayı gelecekteki uyarı dizinlerine otomatik olarak uygulamak gibi bir dizin deseni girin . Öncelik varsayılan değerine ayarlanır ve başka herhangi bir değere ayarlanabilir. Öncelik değeri daha yüksek olan dizin önce işlenir. wazuh-alerts-* 1 Dizin silme için bir durum oluşturmak üzere Durum ekle'ye  tıklayın . . gibi bir ad girin  delete_alerts . Eylem ekle'ye  tıklayın ve  Eylem türünde  Sil'i  seçin  .  Eylem ekle'ye  tıklayın . Ardından  Durumu kaydet'e  tıklayın . Başlangıç ​​durumunu oluşturmak için tekrar Durum ekle'ye  tıklayın . . gibi bir ad girin  initial . Sipariş  sekmesinden  Önce Ekle'yi  seçin ve  delete_alerts  seçeneğini seçin . Geçiş ekle'ye  tıklayın ve  Hedef durumu  olarak  delete_alerts'i  seçin . Condition'da  Minimum Endeks Yaşını  seçin .  Minimum Endeks Yaşına  örneğin 90 gün için  90d  gibi  tutma değerini girin . Geçiş Ekle'ye  tıklayın .  Durumu Kaydet'e tıklayın.  Oluştur'a  tıklayın . Başlangıç ​​Durumunu  Başlangıç  ​​olarak değiştirin. JSON Editor Kullanma Sol üst menüye tıklayın  ☰ ,  Indexer yönetimine  gidin ve  Index Yönetimi'ni seçin.  Durum yönetimi politikalarını  seçin ve  Politika oluştur'a  tıklayın .  JSON düzenleyicisini  seçin ve  Devam'a tıklayın. Politika bilgisi  bölümüne benzersiz bir  Politika Kimliği girin . Örneğin, wazuh-alert-retention-policy . İsteğe bağlı olarak JSON politika tanımınıza bir açıklama girebilirsiniz. Define policy  bölümünde , içeriği JSON policy tanımınızla değiştirin. Tanımınız buna benzer görünmelidir. { "policy": { "policy_id": "wazuh-alert-retention-policy", "description": "Wazuh alerts retention policy", "schema_version": 17, "error_notification": null, "default_state": "retention_state", "states": [ { "name": "retention_state", "actions": [], "transitions": [ { "state_name": "delete_alerts", "conditions": { "min_index_age": "90d" } } ] }, { "name": "delete_alerts", "actions": [ { "retry": { "count": 3, "backoff": "exponential", "delay": "1m" }, "delete": {} } ], "transitions": [] } ], "ism_template": [ { "index_patterns": [ "wazuh-alerts-*" ], "priority": 1 } ] } } Minimum endeks tutma için tercih ettiğiniz gün sayısına göre  “min_index_age”: ayarlayın . “90d” Oluştur'a  tıklayın . Saklama Politikasının Uyarı Dizinine Uygulanması Sol üst menüye tıklayın  ☰ ,  Indexer yönetimine  gidin ve  Index Yönetimi'ni  seçin .  Indexes'i  seçin . Politikayı eklemek istediğiniz endeksi veya endeksleri seçin. Eylemler  >  Politikayı uygula'ya tıklayın. Önceki adımlarda oluşturulan politikayı  Politika Kimliği menüsünden seçin.  Uygula'ya  tıklayın . Sıcak-ılık Mimarisini Kurun Bu bölüm, sıcak ve ılık düğümlerde depolanacak dizinlerin nasıl yapılandırılacağını gösterir. Sıcak-ılık bir mimari, aşağıdaki özelliklere sahip sıcak ve ılık düğümlerden oluşur: Sıcak düğümler, yüksek bilgi işlem kaynaklarına sahip olmaları nedeniyle genellikle hızlı ve pahalıdır. Sıcak bir düğüm, daha düşük bilgi işlem kaynaklarına ihtiyaç duyması nedeniyle daha yavaş ve daha ucuzdur. Verilerinizi önce sıcak düğümlere dizinlediğiniz ve belirli bir süre sonra sıcak düğümlere taşıdığınız sıcak-ılık bir mimari tasarlayabilirsiniz. Bu mimari, sık sık sorgulamadığınız eski verileriniz varsa sizin için uygundur. Eski veriler, daha yavaş ve daha az maliyetli bir donanımda depolanmak üzere taşınır. Bu mimari, bilgi işlem maliyetlerinden tasarruf etmenize yardımcı olur. Sıcak düğüm sayısını artırmak yerine, sık erişmediğiniz veriler için sıcak düğümler ekleyebilirsiniz. Sıcak-ılık depolama mimarisini yapılandırmak için  temp ilgili düğümlere nitelikler ekleyin. Not:  Tüm sıcak ve ılık düğümleriniz için tutarlı olduğu sürece, öznitelik adını ve değerini istediğiniz şekilde ayarlayabilirsiniz. Sıcak (Hot) Bir Düğüm Yapılandırın Sıcak bir düğümü yapılandırmak için dosyaya aşağıdaki yapılandırmayı ekleyin  /etc/wazuh-indexer/opensearch.yml : node.attr.temp: hot Wazuh dizinleyici hizmetini yeniden başlatın: # systemctl restart wazuh-indexer Sıcak (Worm) Bir Düğüm Yapılandırın Sıcak bir düğüm yapılandırmak için dosyaya aşağıdaki yapılandırmayı ekleyin  /etc/wazuh-indexer/opensearch.yml : node.attr.temp: warm Wazuh dizinleyici hizmetini yeniden başlatın: systemctl restart wazuh-indexer Dizinleyici Durum Yönetimi Politikası Oluştur Wazuh gösterge paneli konsolunda aşağıdaki adımları uygulayın. temp Daha önce atanan niteliklerin uygulandığını onaylayın : GET _cat/nodeattrs?v&h=node,attr,value wazuh-alerts-4.x-* Sıcak düğümlere dizin örüntüsünü kullanarak dizinler atamak ve belirli bir süre sonra bunları sıcak düğümlere taşımak için bir ISM politikası oluşturun : PUT _plugins/_ism/policies/hot_warm { "policy": { "description": "Send shards from hot to warm nodes", "schema_version": 17, "error_notification": null, "default_state": "hot", "states": [ { "name": "hot", "actions": [], "transitions": [ { "state_name": "warm", "conditions": { "min_index_age": "30d" } } ] }, { "name": "warm", "actions": [ { "retry": { "count": 3, "backoff": "exponential", "delay": "1m" }, "replica_count": { "number_of_replicas": 0 } }, { "retry": { "count": 3, "backoff": "exponential", "delay": "1m" }, "allocation": { "require": { "temp": "warm" }, "include": {}, "exclude": {}, "wait_for": false } } ], "transitions": [] } ], "ism_template": [ { "index_patterns": [ "wazuh-alerts-*" ], "priority": 1 } ] } } Sıcak düğümde endeksleri depolamak için minimum gün sayısını tanımlamak için, tercih ettiğiniz gün sayısına  min_index_age ayarlayın . 30d Artık dizin deseni kullanılarak oluşturulan tüm gelecekteki dizinler  wazuh-alerts-4.x-* sıcak bir düğüme tahsis edilecektir.  min_index_age Koşul karşılandıktan sonra, dizinler sıcak bir düğüme taşınır ve tüm kopyalar kaldırılır. Kopyaların kaldırılması, veriler sık ​​sık sorgulanmayacağı için depolamanın sıcak düğümde yönetilmesini sağlar. ISM Politikasını Mevcut Endekslere Uygulayın Endeks  Yönetimi'nde  Endeksleri  seçin . Politikayı eklemek istediğiniz endeksi veya endeksleri seçin. Eylemler  >  Politikayı uygula'ya  tıklayın . hot-warm  Politika Kimliği'nde politikayı seçin . Politikayı seçili endekslere eklemek için  Uygula'ya tıklayın.