Gehen wir davon aus, dass nur eine begrenzte Menge an Festplattenspeicher für Wazuh zur Verfügung steht. Um nicht blind alle Index älter als X Tage löschen zu müssen, können wir auf die Index einzeln nach unwichtigeren Meldungen durchgehen und nur diese entfernen (auf eigenes Risiko!).
Wollt ihr zum Beispiel die simplen Windows Logoff Meldungen raus haben, geht unter Index Management in die Dev Tools und passt je nachdem an:
POST wazuh-alerts-4.x-2025.04.04/_delete_by_query
{
"query": {
"match_phrase": {
"rule.id": {
"query": "60137"
}
}
}
}