From 64b22565c23f0ccf5e9dcb698ff5728f46abe7e5 Mon Sep 17 00:00:00 2001
From: mtrossevin <mtrossevin+gitit@evolix.fr>
Date: Wed, 30 Sep 2020 11:39:46 +0200
Subject: [PATCH] =?UTF-8?q?D=C3=A9place=20les=20informations=20de=20troubl?=
 =?UTF-8?q?eshouting=20g=C3=A9n=C3=A9ral=20du=20wiki=20priv=C3=A9=20au=20w?=
 =?UTF-8?q?iki=20public?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 HowtoSELKS.md | 21 ++++++++++++++++++++-
 1 file changed, 20 insertions(+), 1 deletion(-)

diff --git a/HowtoSELKS.md b/HowtoSELKS.md
index e513b851..e322252a 100644
--- a/HowtoSELKS.md
+++ b/HowtoSELKS.md
@@ -62,7 +62,11 @@ Ouvre EveBox, permet d'obtenir les paquets correspondants à une alerte (d'aprè
 
 > Une alerte dans Suricata est produite lorsqu'une règle Suricata est atteinte par un paquet (ou un ensemble de paquets).
 
-## Administration
+## FAQ
+
+Pour plus de pistes pour résoudre des problèmes, voir <https://github.com/StamusNetworks/SELKS/wiki#troubleshooting-and-getting-help>.
+
+La commande `selks-health-check_stamus` peut être lancée pour voir l'état de santé de tous les services nécessaires au bon fonctionnement de SELKS.
 
 ### Réinitialiser Kibana
 
@@ -84,3 +88,18 @@ sleep 20 ; cd /usr/share/python/scirius/ && \
 . bin/activate && python bin/manage.py kibana_reset && \
 deactivate
 ```
+
+### Des indices sont passés en read-only
+
+Voir <https://www.elastic.co/guide/en/elasticsearch/reference/6.5/disk-allocator.html>
+
+Une fois un certain pourcentage de disque utilisé, Elasticsearch passera certains indices en read-only afin d'éviter de saturer le disque.
+
+Pour repasser tous les indices en read-write, il faut aller sur la machine SELKS et utiliser la commande suivante:
+
+```
+curl -XPUT "http://localhost:9200/_all/_settings" -H 'Content-Type: application/json' -d'
+{
+  "index.blocks.read_only_allow_delete": null
+}'
+```