解决kibana启动时:缺少elasticsearch模板，check elasticsearch template

我安装的是 elsticsearch7.9.2    kibana7.9.2    wazuh 3.13.2   filebeat 3.13.2

在解决了 Kibana server is not ready yet 问题（https://blog.csdn.net/Devour_/article/details/112569075）后发现kibana还是不可以正常访问，提示找不到elasticsearch模板

      解决找不到elasticsearch模板的问题，更新 filebeat.yml 和 wazuh-template.json。添加elasticsserch告警模

我的解决步骤：（作为改错记录）

       1、在github的wazuh官方网站上去找对应版本的filebeat.yml 和 wazuh-template.json

               https://raw.githubusercontent.com/wazuh/wazuh/v3.13.2/extensions/filebeat/7.x/filebeat.yml

        https://raw.githubusercontent.com/wazuh/wazuh/v3.13.2/extensions/elasticsearch/7.x/wazuh-template.json

      2、你肯定发现直接点链接不能下载（解决办法）（可能只需要下载wazuh-template.json告警模板即可，这个未测试）

             1）不知道是不是官方的原因，我不能直接wget访问下载，因此需要将对应版本的安装包整个下载下来，并且解压

        

             2）进入这个目录将 extensions/filebeat/7.x/filebeat.yml 和 extensions/elasticsearch/7.x/wazuh-template.json  这两个加粗的文件复制出来

             3）用filebeat.yml文件，替换你安装的filebeat中的/etc/filebeat/filebeat.yml

                      更改权限chmod go+r /etc/filebeat/filebeat.yml

             4）将wazuh-tenplate.json，上传到/etc/filebeat/中即可!

                       更改权限chmod go+r /etc/filebeat/wazuh-template.json

      3、编辑/etc/filebeat/filebeat.yml文件，将output.elasticsearch.h osts: 配置文件中：

         ['http://YOUR_ELASTIC_SERVER_IP:9200']中的“YOUR_ELASTIC_SERVER_IP”修改为ElasticServer的ip地址或者主机名。

     4、启动

         systemctl daemon-reload

         systemctl enable filebeat.service

          systemctl start filebeat.service

 

 补充：若问题还未解决，可以尝试：为filebeat下载Wazuh针对filebeat的模块解决问题。

1. 下载文件 https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz（这个官方链接可能失效，有需要可以留言）
2. 解压并覆盖：tar -xvzf wazuh-filebeat-0.1.tar.gz -C /usr/share/filebeat/module