En la entrada anterior vimos como eliminar todas las alertas y casos de Thehive, pero al realizar dicha acción las alertas se quedan en estado Ignored, para solucionar este problema debemos eliminarlas de ElasticSearch.
Dado que yo quería eliminar todas las alertas porque era un entorno de laboratorio he creado un script, no es muy elegante… pero es efectivo.
savecases="/tmp/elastic.txt"
deletecases="/tmp/cleanelastic.txt"
curl http://localhost:9200/the_hive_14/alert/_search?q=ignored > $savecases
tr ',"' '\n' < /tmp/elastic.txt | grep -C 2 _id | grep -v : | sed -e 's/--//g' | sed '/^$/d' | grep -v _id > $deletecases
filecontent=( `cat "$deletecases" `)
for id in "${filecontent[@]}"
do
curl -XDELETE 'localhost:9200/the_hive_14/alert/$id'
done
En caso de que queramos eliminar una en concreto buscamos la alerta:
curl http://localhost:9200/the_hive_14/alert/_search?q=ignored
Una vez encontrada la alerta la cual queremos eliminar procedemos a su eliminación de la siguiente forma
curl -XDELETE 'localhost:9200/the_hive_14/alert/bd10ba1cb5f941ea8c69907a469876fa':wq!