<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
I am attempting to get eve.json data into elasticsearch.
<div class=""><br class="">
</div>
<div class="">I found filebeat and noted that it had a suricata plugin.  Installed it (following the instruction in the docs). </div>
<div class=""><br class="">
</div>
<div class="">At first I could not find the index and the doc were not forthcoming about the naming.  Eventually I figured out that it was called filebeat-…..   By that time the index contained 50GB of data and was marked as closed.  </div>
<div class=""><br class="">
</div>
<div class="">I can’t do anything with the closed index, even delete it. I have tried opening it by sending API request but that comes back with “acknowledged” but nothig changes.  Filebeat logs suggest it it still sendingdata to ES???</div>
<div class=""><br class="">
</div>
<div class="">I tried changing the index name but filebeat now insists that I now need to load the templates for the new index without saying how. Re-running
<font face="Menlo" class="">filebeat —setup</font> does not do it.</div>
<div class=""><br class="">
</div>
<div class="">Before spending more time going around in circles I thought I would ask what others are doing to get their eve logs into ES so that they can use Evebox — which is next on my list of things to look at once I get the data loading into ES.</div>
<div class=""><br class="">
</div>
<div class="">Russell</div>
</body>
</html>