20 de nov. de 2019

Elast Alert warning: no files found matching 'blist.rst' blist/_blist.c:38:20: fatal error: Python.h: No such file or directory include

Olá, meu caro. 

Esta postagem é para auxiliar pessoas que tiveram problemas na execução do ElastAlert. Segue;

 PROBLEMA 



[root@isweluiz elastalert]# python3.4 setup.py install
running install
running bdist_egg
.
.
.
Installed /usr/lib/python3.4/site-packages/elastalert-0.2.1-py3.4.egg
Processing dependencies for elastalert==0.2.1
Searching for blist>=1.3.6
Reading https://pypi.org/simple/blist/
Downloading https://files.pythonhosted.org/packages/6b/a8/dca5224abe81ccf8db81f8a2ca3d63e7a5fa7a86adc198d4e268c67ce884/blist-1.3.6.tar.gz#sha256=3a12c450b001bdf895b30ae818d4d6d3f1552096b8c995f0fe0c74bef04d1fc3
Best match: blist 1.3.6
Processing blist-1.3.6.tar.gz
Writing /tmp/easy_install-nu18tqua/blist-1.3.6/setup.cfg
Running blist-1.3.6/setup.py -q bdist_egg --dist-dir /tmp/easy_install-nu18tqua/blist-1.3.6/egg-dist-tmp-wf0lvx76
warning: no files found matching 'blist.rst'
blist/_blist.c:38:20: fatal error: Python.h: No such file or directory
 #include 
                    ^
compilation terminated.
error: Setup script exited with error: command 'gcc' failed with exit status 1
[root@isweluiz elastalert]# blist
bash: blist: command not found


Solução

Pacotes e dependências, vale verificar se os seguintes pacotes estão instalados:
  • Python3.4 
  • Python34-devel
  • Python-rpm-macros
  • Python-blist
[root@isweluiz elastalert]# yum install http://rpmfind.net/linux/epel/7/x86_64/Packages/p/python34-devel-3.4.10-4.el7.x86_64.rpm -y

Dependencies Resolved

==================================================================================================================================================================================================
 Package                                            Arch                             Version                                  Repository                                                     Size
==================================================================================================================================================================================================
Installing:
 python34-devel                                     x86_64                           3.4.10-4.el7                             /python34-devel-3.4.10-4.el7.x86_64                           559 k
Installing for dependencies:
 python-rpm-macros                                  noarch                           3-15.el6                                 _Epel_CentOS_6                                           6.7 k
 python-srpm-macros                                 noarch                           3-15.el6                                 _Epel_CentOS_6                                           5.9 k
 python3-other-rpm-macros                           noarch                           3-26.el7                                 _Epel_CentOS_7                                           7.0 k

Transaction Summary


[root@isweluiz elastalert]# python3.4 setup.py install
running install
running bdist_egg
.
.
.
.
Using /usr/lib/python3.4/site-packages
Finished processing dependencies for elastalert==0.2.1
[root@isweluiz elastalert]# elastalert
elastalert                   elastalert-create-index      elastalert-rule-from-kibana  elastalert-test-rule


Problemas relacionados

18 de nov. de 2019

ELK - Palo Alto , Nessus, OpenVas e Linux Systems

Olá, meu caro! 

Neste post irei apresentar uma arquitetura criada para sustentar um "SIEM"
open source criado para ampliar a visão da equipe de segurança em dar resposta a eventos de forma rápida e com informações precisas que são coletadas em tempo real de ferramentas como Firewall corporativo, servidores linux/windows e softwres de análise de vulnerabilidade como OpenVas e Nessus. 

Dashboard contendo informações de dados de logs em tempo real do firewall Palo alto


28 de out. de 2019

Habilitando certificado SSL para OTRS 6

Olá, meu caro!

Nest post vou compartilhar uma informação bastante importe, mas com foco em um sistema de ITSM em específico, o OTRS versão 6, última versão lançada pelo grupo OTRS que será disponibilizada gratuitamente.  Dentre implantações nos deparamos com necessidades, uma delas é a de prover a segurança básica aos usuários que trafegam na ferramenta. Esse post segue basicamente duas etapas habilitação do SSL no servior Web com importação dos certificados e habilitação do HTTPS nas configurações do otrs. Abaixo uma lista com os motivos para utilizar o HTTPS com otrs. 



Razões para usar HTTPS com OTRS
… Bem, realmente, não há motivo para NÃO usar!
  • Quando você NÃO está usando HTTPS, está expondo sua senha em texto sem formatação ao fazer login. Mesmo se você estivesse usando apenas OTRS na sua rede corporativa, pode confiar em tudo e em todos na sua rede?
  • Você está tendo dados sobre seus clientes no OTRS. Você deve garantir que esses dados não sejam expostos ou vazem; portanto, você deve usar HTTPS ao acessar o OTRS no seu navegador da web.
  • Além da criptografia; também há o aspecto de ataques MITM no seu servidor da web. Se você possui um certificado em seu servidor da Web, pode ter certeza de que o servidor que está procurando e a senha para digitar a senha são na verdade SEU servidor e não um cara que usa o mesmo DNS envenenamento por wifi do hotel.
  • Mesmo que você não se importe com a segurança, o uso de SSL e HTTPS é um pré-requisito para o uso do mod_spdy com o Apache, que traz muitos dos recursos HTTP / 2.0 futuros para o servidor Apache e para navegadores modernos, como Google Chrome e Mozilla Firefox. Isso torna o OTRS mais rápido!



Vamos lá. 

Etapas 

  1. Instalação do mod_ssl 
  2. Importar certificados
  3. Configuração do apache
  4. Habilitar tráfego https e porta 443 no firewalld e iptables
  5. Habilitação do redirect https no otrs

The mount command options

Hello, my dear. 

Today I'm going talk about the mount options, this topic is very basic but is very important for us remember in some moments when we going work with file system, because case u have that mount the file system, is important you remember the configuring the file system with the best mode and security. I created the table bellow and I share here in my blog with you. 

The mount command supports numerous options. Some  of them are described in table 


22 de out. de 2019

Removendo indices de séries temporais com ElasticSearch Curator

Olá, meu caro.

Irei apresentar o Curator, uma ferramenta desenvolvida em python muito útil para gerenciamento de indices do Elasticsearch. O Curator executa muitas operações nos indices do elasticsearch além de muito útil para remover e gerenciar snapshots.
01 - Remoção de indices com curator

 Quando você trabalha com grandes volumes de dados e logs é extremamente importante ter um planejamento de retenção desses dados nos indices do elasticsearch, no meu caso,  recebo aproximadamente 500GB diário de dados de logs, é uma quantidade razoavelmente grande, se não houver capacidade de armazenamento suficiente, rapidamente perdemos a capacidade de armazenar, é preciso rotacionar.


Recursos do curator 

Veja mais em: https://www.elastic.co/guide/en/elasticsearch/client/curator/current/about-features.html


Instalação

Como mencionado anteriormente o curator foi escrito em python, iremos precisar do pip para instalá-lo. 

# pip install elasticsearch-curator 

 

Configurando


Crie um diretório chamado curator, dentro deste diretório você deve criar o arquivo de configuração curator_cluster_config.yml com o conteudo abaixo que deve ser modificado de acordo com o seu ambiente. 
 
Arquivo de configuração utilizando SSL. 


# Remember, leave a key empty if there is no value.  None will be a string, not a Python "NoneType"
client:
  hosts:
    - "elk-cluster.isweluiz.com"
  port: 9200
  url_prefix:
  use_ssl: True
  # The certificate file is the CA certificate used to sign all ES node certificates.
  # Use same CA certificate to generate and sign the certificate running curator (specified in properties client_cert and client_key)
  certificate: '/work/elk/elasticsearch-6.3.2/config/x-pack/certificate-bundle/ca/ca.crt'
  client_cert: '/work/elk/elasticsearch-6.3.2/config/x-pack/certificate-bundle/myhostname/myhostname.crt'
  client_key: '/work/elk/elasticsearch-6.3.2/config/x-pack/certificate-bundle/myhostname/myhostname.key'
  ssl_no_validate: False
  # Username password to connect to ES using basic auth
  http_auth: "username:password"
  timeout: 30
  master_only: False
 
logging:
  loglevel: INFO
  logfile:
  logformat: default
  blacklist: ['elasticsearch', 'urllib3']


Uma configuração de cluster sem a utilização do SSL, o que será muito mais simples, como abaixo:


# Remember, leave a key empty if there is no value.  None will be a string, not a Python "NoneType"
client:
  hosts:
    - "elk-cluster.isweluiz.com"
  port: 9200
  url_prefix:
  use_ssl: False
  certificate:
  client_cert:
  client_key:
  ssl_no_validate: False
  http_auth: "username:password"
 
logging:
  loglevel: WARNING
  logfile:
  logformat: default
  blacklist: ['elasticsearch', 'urllib3']

 
Após criar um arquivo de configuração e incluir a configuração do seu cluster, podemos prosseguir para a próxima etapa, que será a criação de uma ação que será executada em nosso cluster.  Você pode checar a documentação oficial para verificar todas as ações disponíveis com o curator.

Removendo indices com séries temporais  

  O ElasticSearch é uma ótima opção para armazenar dados de séries temporais por vários motivos. As equipes de índices do ElasticSearch criam automaticamente índices e aliases que permitem pesquisar de maneira uniforme vários índices. O ElasticSearch não fornece remoção automática de dados.

Como exemplo, excluiremos todos os índices do filebeat-*,  auditbeat-* e metricbeat-* com mais de 7 dias. Usaremos delete_indices como ação.

Nossos índices são nomeados com o sufixo YYYY.MM.DD, portanto, precisamos informar ao Curator sobre nosso formato e quais índices remover. Abaixo está o arquivo de ação de amostra curator_actions.yml, que excluirá os índices do elastic com mais de 7 dias:


Uma ação para cada: 

actions:
  1:
    action: delete_indices
    description: >-
    options:
      timeout_override: 300
      continue_if_exception: True
      ignore_empty_list: True
      disable_action: False
    filters:
      - filtertype: pattern
        kind: regex
        value: filebeat-*
        exclude:
      - filtertype: age
        source: name
        direction: older
        timestring: '%Y.%m.%d'
        unit: days
        unit_count: 7
  2:
    action: delete_indices
    description: >-
    options:
      timeout_override: 300
      continue_if_exception: True
      ignore_empty_list: True
      disable_action: False
    filters:
      - filtertype: pattern
        kind: regex
        value: auditbeat-*
        exclude:
      - filtertype: age
        source: name
        direction: older
        timestring: '%Y.%m.%d'
        unit: days
        unit_count: 7
  3:
    action: delete_indices
    description: >-
    options:
      timeout_override: 300
      continue_if_exception: True
      ignore_empty_list: True
      disable_action: False
    filters:
      - filtertype: pattern
        kind: regex
        value: metricbeat-*
        exclude:
      - filtertype: age
        source: name
        direction: older
        timestring: '%Y.%m.%d'
        unit: days
        unit_count: 7



Única ação para remover todos os indices mencionados:


# Remember, leave a key empty if there is no value.  None will be a string, not a Python "NoneType"
actions:
  1:
    action: delete_indices
    description: >-
      
      timeout_override: 300
      continue_if_exception: True
      ignore_empty_list: True
      disable_action: False
    filters:
      - filtertype: pattern
        kind: regex
        value: '^\.(metricbeat-|filebeat-|auditbeat-).*$'
        exclude:
      - filtertype: age
        source: name
        direction: older
        timestring: '%Y.%m.%d'
        unit: days
        unit_count: 7


 A partir do diretório criado anteriormente, iremos executar o curator para testar  as configurações, para isso passamos o parâmetro --dry-run ao final da linha de comando.

[root@isweluiz]# curator --config curator_cluster_config.yml  curator_actions.yml --dry-run
2019-10-22 13:53:36,422 INFO      Preparing Action ID: 1, "delete_indices"
2019-10-22 13:53:36,422 INFO      Creating client object and testing connection
2019-10-22 13:53:36,469 INFO      Instantiating client object
2019-10-22 13:53:36,471 INFO      Testing client connectivity
2019-10-22 13:53:36,481 INFO      Successfully created Elasticsearch client object with provided settings
2019-10-22 13:53:36,484 INFO      Trying Action ID: 1, "delete_indices":
2019-10-22 13:53:38,023 INFO      DRY-RUN MODE.  No changes will be made.
2019-10-22 13:53:38,023 INFO      (CLOSED) indices may be shown that may not be acted on by action "delete_indices".
2019-10-22 13:53:38,025 INFO      Action ID: 1, "delete_indices" completed.
2019-10-22 13:53:38,026 INFO      Preparing Action ID: 2, "delete_indices"
2019-10-22 13:53:38,026 INFO      Creating client object and testing connection
2019-10-22 13:53:38,026 INFO      Instantiating client object
2019-10-22 13:53:38,027 INFO      Testing client connectivity
2019-10-22 13:53:38,032 INFO      Successfully created Elasticsearch client object with provided settings
2019-10-22 13:53:38,035 INFO      Trying Action ID: 2, "delete_indices":
2019-10-22 13:53:39,695 INFO      DRY-RUN MODE.  No changes will be made.
2019-10-22 13:53:39,695 INFO      (CLOSED) indices may be shown that may not be acted on by action "delete_indices".
2019-10-22 13:53:39,697 INFO      Action ID: 2, "delete_indices" completed.
2019-10-22 13:53:39,697 INFO      Preparing Action ID: 3, "delete_indices"
2019-10-22 13:53:39,697 INFO      Creating client object and testing connection
2019-10-22 13:53:39,697 INFO      Instantiating client object
2019-10-22 13:53:39,698 INFO      Testing client connectivity
2019-10-22 13:53:39,703 INFO      Successfully created Elasticsearch client object with provided settings
2019-10-22 13:53:39,706 INFO      Trying Action ID: 3, "delete_indices":
2019-10-22 13:53:43,995 INFO      DRY-RUN MODE.  No changes will be made.
2019-10-22 13:53:43,996 INFO      (CLOSED) indices may be shown that may not be acted on by action "delete_indices".
2019-10-22 13:53:43,998 INFO      Action ID: 3, "delete_indices" completed.
2019-10-22 13:53:43,998 INFO      Preparing Action ID: 4, "delete_indices"
2019-10-22 13:53:43,998 INFO      Creating client object and testing connection
2019-10-22 13:53:43,999 INFO      Instantiating client object
2019-10-22 13:53:43,999 INFO      Testing client connectivity
2019-10-22 13:53:44,006 INFO      Successfully created Elasticsearch client object with provided settings
2019-10-22 13:53:44,009 INFO      Trying Action ID: 4, "delete_indices":
2019-10-22 13:53:45,888 INFO      DRY-RUN MODE.  No changes will be made.
2019-10-22 13:53:45,889 INFO      (CLOSED) indices may be shown that may not be acted on by action "delete_indices".
2019-10-22 13:53:45,891 INFO      Action ID: 4, "delete_indices" completed.
2019-10-22 13:53:45,891 INFO      Preparing Action ID: 5, "delete_indices"
2019-10-22 13:53:45,891 INFO      Creating client object and testing connection
2019-10-22 13:53:45,892 INFO      Instantiating client object
2019-10-22 13:53:45,892 INFO      Testing client connectivity
2019-10-22 13:53:45,897 INFO      Successfully created Elasticsearch client object with provided settings
2019-10-22 13:53:45,900 INFO      Trying Action ID: 5, "delete_indices":
2019-10-22 13:53:47,530 INFO      DRY-RUN MODE.  No changes will be made.
2019-10-22 13:53:47,531 INFO      (CLOSED) indices may be shown that may not be acted on by action "delete_indices".
2019-10-22 13:53:47,533 INFO      Action ID: 5, "delete_indices" completed.
2019-10-22 13:53:47,533 INFO      Job completed.


Com a opção --dry-run o curator habilita o modulo de verificação e não executa as ações nos indices.

Agendando a execução diária do Curator

Para colocar na cron, você pode utilizar o comando; crontab -e para manipulação da crontab do usuário logado no momento. A cron abaixo irá executar todos os dias às 00:59h, ao final da linha acrescentei o redirecionamento para um aquivo chamado curator_delete.out, para armazenar a saída da execução do curator.

59 00 * * *  curator --config /opt/curator/curator_cluster_config.yml  /opt/curator/curator_actions.yml >> /tmp/curator_delete.out


Para opções de agendamento na cron você pode utilizar o site https://crontab.guru/.

 Leitura recomendada

19 de set. de 2019

Sticky Bit em diretórios públicos

Olá, meu caro!  Como vai? Bem?



The Sticky bit...  é utilizado como modo de controle(permissão) em diretórios públicos (ou outros diretório com permissão de rw para todo mundo) para proteger arquivos e sub-diretórios proprietários de usuários regulares de serem deletados ou movidos por outros usuários regulares. Simples, não é?
Pois bem, este atributo é setado no diretório /tmp como mostrado abaixo: 

#ls -lad /var /tmp
drwxrwxrwt. 19 root root 4096 Sep 19 21:37 /tmp
drwxr-xr-x. 21 root root 4096 Sep 19 21:39 /var

16 de set. de 2019

Red Hat System Administrator - BASIC TOOLS - Mental Map

Configurando um roteador no linux - Mental map

14 de set. de 2019

Stack ELK + redis como buffer. Coleta de logs de múltiplas fontes




Gerenciando entrega de e-mail - Mental map

Segurança de servidores FTP - Mental map

21 de ago. de 2019

O segredo dos gênios

10 de ago. de 2019

Autenticação via PAM - Mental map

8 de ago. de 2019

6 práticas recomendadas para a segurança do OpenSSH

Segurança do OpenSSH


Olá, meu caro! 

Talvez você nunca tenha se deparado com a situação abaixo, mas e se deparasse, qual seria a sua atitude? Você tem controle dos acessos realizados no seu parque de máquinas?  A imagem abaixo demonstra informações de segurança no Kibana do meu ambiente na google cloud cuja as máquinas estão expostas na internet e com algumas portas abertas. Existem regras de firewall, tanto iptables quanto fail2ban,  porém agora iremos ver algumas ações recomendadas que podem ser feitas no OpenSSH para ampliar a segurança. 


Figura 1 - Kibana, dashboard de monitoramento de atividades dos hosts.


Estas são as seis tarefas mais importantes para proteger sua configuração do servidor SSH:

Figura 2 - Configurações sshd_config

1.       Use uma senha forte;
2.       Altere a porta padrão do SSH;
3.       Desabilite o login do root;
4.       Limite o acesso do usuário;
5.       Use acesso baseado em chave para autenticação.
6.       Desativar senhas vazias
 

1.       Use uma senha forte;


Não é demais enfatizar o quanto é importante usar senhas de usuário e senhas fortes para suas chaves. O ataque de força bruta funciona porque o usuário acessa senhas baseadas em dicionário. Você pode forçar os usuários a evitar senhas contra um ataque de dicionário e usar a ferramenta john the ripper para descobrir senhas fracas existentes.

2. Altere a porta padrão do SSH;


A porta padrão do serviço SSH é 22, você deve alterá-la para tornar menos óbvio que seu servidor esteja executando um serviço SSH.

#vim /etc/ssh/sshd_config
Altere a linha abaixo:
Port 22
Escolha outro valor para a porta
Port 2123

 3.       Desabilite o login do root;


É importante desativar o login direto para o usuário root, pois há muitos ataques de força bruta contra o root. IMPORTANTE: teste o login SSH com seu usuário alternativo não raiz que você planeja usar para logins ssh antes de desabilitar a conta raiz.

Figura 3 - Tentativas de acesso com usuário root


4.       Limite o acesso do usuário;


Por padrão, todos os usuários do sistema podem efetuar login via SSH usando sua senha ou chave pública. Às vezes, você cria uma conta de usuário do UNIX / Linux para fins de FTP ou email. No entanto, esses usuários podem efetuar login no sistema usando o ssh. Eles terão acesso total às ferramentas do sistema, incluindo compiladores e linguagens de script, como Perl, Python, que podem abrir portas de rede e fazer muitas outras coisas sofisticadas. O controle baseado em grupo é mais flexível e fácil de administrar, por isso coloquei os dois exemplos abaixo. Se você optar por utilizar a permissionamento por usuário e não grupos caso você adicione um novo usuário no sistema, você terá que editar o sshd_config e adicionar esse novo usuário. 

Para permissão de usuários:
#AllowUsers luizep developers
Para permissão de grupos:
AllowGroups developers devops sysadmin
Para negar usuários:
#DenyUsers root


5.       Use acesso baseado em chave para autenticação;


Todos os logins baseados em senha devem ser desativados. Somente logins baseados em chave pública são permitidos. Adicione o seguinte no seu arquivo sshd_config:

PubkeyAuthentication yes


6.       Desativar senhas vazias.


Você precisa explicitamente proibir o login remoto de contas com senhas vazias, atualize sshd_config com a seguinte linha:

PermitEmptyPasswords no

3 de ago. de 2019

File Sharing (NFS) - Mental map

2 de ago. de 2019

Comandos úteis para o elastichsearch

Introdução


Para quem não conhece, o Elasticsearch é um “servidor de buscas distribuído baseado no Apache Lucene”. Em outras palavras, pode-se dizer que o Elasticsearch é um banco de dados NoSQL, porém com esteroides, uma série de plugins e ferramentas auxiliares. E o melhor, opensource.
Abaixo está uma lista de comandos que podem ajudar na execução de solução de problemas do seu cluster elasticsearch.

substitua localhost pelo endereço IP de seus hosts elasticsearch se não estiver escutando em localhost.

Saúde do cluster

curl -XGET 'http://localhost:9200/_cluster/health?pretty'

{ "cluster_name" : "Shrunken Bones", "status" : "yellow", "timed_out" : false, "number_of_nodes" : 1, "number_of_data_nodes" : 1, "active_primary_shards" : 22, "active_shards" : 22, "relocating_shards" : 0, "initializing_shards" : 0, "unassigned_shards" : 8, "delayed_unassigned_shards" : 0, "number_of_pending_tasks" : 0, "number_of_in_flight_fetch" : 0, "task_max_waiting_in_queue_millis" : 0, "active_shards_percent_as_number" : 73.33333333333333}


Listar os indices 

[root@dev-instance logstash]# curl -X GET http://localhost:9200/_cat/indicesgreen open .kibana_task_manager dN7tdlvjSPKHAykjaBcSXg 1 0 2 0 55.8kb 55.8kbgreen open .monitoring-es-7-2019.09.02 hDDxQJzJTcyQIp8yxrUTyw 1 0 35646 41982 20.2mb 20.2mbgreen open .monitoring-es-7-2019.08.13 eKnlpsFiR4ynRqmg-jMtBQ 1 0 2609 1770 2.3mb 2.3mbyellow open filebeat-7.3.0-2019.08.07-000001 a948cy8SRCWJ7uAfiwxo1Q 1 1 318145 0 96.9mb 96.9mbgreen open .monitoring-kibana-7-2019.08.07 NW7G8vmsTfuugRO5JtwfgA 1 0 7849 0 2.6mb 2.6mbgreen open .monitoring-es-7-2019.08.10 Fd1jDZpCTh6PZZNS40vRLQ 1 0 124229 151116 79.5mb 79.5mbyellow open openvas_ec_aws wOuSo2SsSLa4uxhXiJ9tZw 1 1 3727 0 4.3mb 4.3mbgreen open .kibana_1 bVHZJQakQCu6R2f8Rtm_Cw 1 0 1814 42 993.4kb 993.4kbgreen open .monitoring-kibana-7-2019.08.09 Z6fD0NyFTQC6NjGE2XossQ 1 0 3771 0 1.3mb 1.3mbyellow open openvas_ec_nuvem J-nx9W84Q7OLCy9Th-UhWQ 1 1 0 0 283b 283bgreen open .monitoring-kibana-7-2019.08.08 yCcbDxqsSJWKi9_XNX8D0g 1 0 2970 0 1.1mb 1.1mbgreen open .monitoring-kibana-7-2019.08.13 qJccDaNKShKlvKti4yUiRA 1 0 94 0 215.3kb 215.3kbgreen open .monitoring-es-7-2019.08.09 L2YyGl7uQQaSx1a4QJhT3A 1 0 160097 186303 106mb 106mbyellow open nuvem QGXCEqPSRAer70eA_XI0yQ 1 1 449 0 672.4kb 672.4kbgreen open .monitoring-es-7-2019.08.08 gayUY_0aRRabGwcTWYiDSg 1 0 133472 150508 78.8mb 78.8mbgreen open .monitoring-kibana-7-2019.08.10 IU4rzwn2Sw2okEFBf4qrng 1 0 5399 0 1.8mb 1.8mbgreen open .monitoring-es-7-2019.08.07 OBHu8EQERYi5-2KMX9i9hg 1 0 96039 91084 48mb 48mbyellow open openvas- bHPxIGtdQdywfzzY1EG_OQ 1 1 16101 0 16.9mb 16.9mbgreen open .monitoring-kibana-7-2019.09.02 pYS-TE3JSy29QoWlSD4-dA 1 0 755 0 306.8kb 306.8kbyellow open openvas-ec-nuvem 0dfH5JSKQdibxBiDk6ZNeg 1 1 0 0 283b 283byellow open auditbeat-7.3.0-2019.08.06-000001 fsZPxRdgS4mOQbnzxMJK_Q 1 1 469626 0 212.7mb 212.7mbyellow open openvas_2_nuvem C4f3S-n1QOa8sWVni0mxvg 1 1 449 0 672.4kb 672.4kb[root@dev-instance logstash]#

Deletar indice 

[root@dev-instance logstash]# curl -X DELETE http://35.238.15.localhost:9200/metricbeat-7.3.0-2019.08.07-000001

 Encontrar shards não atribuídos

curl -XGET localhost:9200/_cat/shards?h=index,shard,prirep,state,unassigned.reason| grep UNASSIGNED