11

我试过这个教程。但它没有捕获 OSSEC 日志(警报、系统日志等),它只是为我的 Kibana 应用程序提供了这条消息。

找不到任何 Elasticsearch 数据 您需要先将一些数据索引到 Elasticsearch 中,然后才能创建索引模式。

我知道有一些这样的教程。但它需要使用wazuh包,我不想使用它,我只想使用纯 OSSEC。我的 OSSEC 和 ELK 应用程序位于 samw 机器中

我的问题是,如何将 OSSEC 与 ELK 集成?在开始将 OSSEC 连接到 ELK 之前,我必须先进行哪些配置?

4

1 回答 1

2

您需要加载数据模板,以便 Elastisearch 可以了解警报数据的格式。您可以使用 Wazuh 制作的,也可以下载并修改为“自己制作”。如果你走这条路,你最终会尝试重新编写 Wazuh,因为它是开源的,所以你不需要这样做。你可以下载所有的源文件,然后对它们做任何你想做的事情。

加载模板的命令:

curl https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -XPUT 'http://localhost:9200/_template/wazuh' -H 'Content-Type: application/json' -d @-

下载模板:

https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/elasticsearch/wazuh-elastic6-template-alerts.json

-或者-

您可以启动一个准备就绪的 Docker 容器:

https://github.com/wazuh/docker-ossec-elk

于 2018-05-21T23:06:46.420 回答