我在我的设置中使用 NGINX,并在 IDS 中使用 wazuh。
我想检查 wazuh kibana 中的所有 nginx 日志(访问/错误)日志,但我无法这样做。
所有的日志都转发到“/var/ossec/logs/archives/archives.log”,在wazuh/kibana中是不可见的。
我是否必须在规则中添加任何更改。
我在我的设置中使用 NGINX,并在 IDS 中使用 wazuh。
我想检查 wazuh kibana 中的所有 nginx 日志(访问/错误)日志,但我无法这样做。
所有的日志都转发到“/var/ossec/logs/archives/archives.log”,在wazuh/kibana中是不可见的。
我是否必须在规则中添加任何更改。
正如 Vishnu ks 所说,Kibana 只会在违反规则时向您显示日志。如果您想查看每个日志,您可以打开 archives.log 文件,您可以在此处找到它:
/var/ossec/logs/archives/archives.log
然而,默认情况下,wazuh 不会在其中放置单个日志,因为您必须在 ossec.conf 文件中指出它。您可以通过以下方式轻松配置:
vi /var/ossec/etc/ossec.conf
并在那里找到全局部分并将 logall 的值更改为 yes。
<global>
<jsonout_output>yes</jsonout_output>
<alerts_log>yes</alerts_log>
**<logall>yes</logall>**
<logall_json>no</logall_json>
现在,通过调用以下命令重新启动 wazuh-manager:
systemctl restart wazuh-manager
最后,您将能够看到 archives.log 文件中的每个日志。
希望能帮助到你。
您将只能看到违反规则的日志。这些警报可以在 /var/ossec/logs/alerts 中找到。在 /var/ossec/logs/archive 中,您可以找到所有日志,即使它没有违反任何规则。默认情况下,logstash 只会在 alerts 文件夹中发送日志。
要查看 kibana 上的日志,您的日志必须符合规则并且必须生成警报。如果您的日志没有符合规则集,那么它将不会显示在 kibana 仪表板中。
您可以通过使用 ossec-logtest 功能简单地检查并确保您的日志文件和解码器规则位置。 https://documentation.wazuh.com/3.13/user-manual/reference/tools/ossec-logtest.html