当我尝试使用 wazuh 重新安装 elk 时出现此错误
问问题
441 次
1 回答
1
我们需要有关您的用例的更准确信息,以帮助您解决此问题。
我建议你按照官方文档https://documentation.wazuh.com/current/user-manual/uninstall/elastic-stack.html中的卸载指南,然后重新安装它https://documentation.wazuh。 com/current/installation-guide/more-installation-alternatives/elastic-stack/all-in-one-deployment/unattended-installation.html。
如果要保留配置,请确保备份以下文件
cp -p /var/ossec/etc/ /var/ossec_backup/etc/client.keys
cp -p /var/ossec/etc/ /var/ossec_backup/etc/ossec.conf
cp -p /var/ossec/queue/rids/sender_counter /var/ossec_backup/queue/rids/sender_counter
如果您对以下任何内容进行了本地更改,则还要备份它们:
cp -p /var/ossec/etc/local_internal_options.conf /var/ossec_backup/etc/local_internal_options.conf
cp -p /var/ossec/etc/rules/local_rules.xml /var/ossec_backup/rules/local_rules.xml
cp -p /var/ossec/etc/decoders/local_decoder.xml /var/ossec_backup/etc/local_decoder.xml
如果您有集中配置,则必须保留:
cp -p /var/ossec/etc/shared/default/agent.conf /var/ossec_backup/etc/shared/agent.conf
可以选择恢复以下文件以保留警报日志文件和 syscheck/rootcheck 数据库:
cp -rp /var/ossec/logs/archives /var/ossec_backup/logs/archives/*
cp -rp /var/ossec/logs/alerts /var/ossec_backup/logs/alerts/*
cp -rp /var/ossec/queue/rootcheck /var/ossec_backup/queue/rootcheck/*
cp -rp /var/ossec/queue/syscheck /var/ossec_backup/queue/syscheck/*
重新安装后,您需要将这些文件放在其原始路径中。
此外,如果您想在重新启动后保留索引,请考虑在此博客 https://wazuh.com/blog/index-backup-management/之后备份您的索引。
于 2021-09-03T16:16:53.150 回答