问题标签 [wazuh]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

38 问题
Newest
Active
Bountied
318
Unanswered
0 投票
3 回答
1672 浏览

logstash - NGINX 登录 WAZUH

我在我的设置中使用 NGINX,并在 IDS 中使用 wazuh。

我想检查 wazuh kibana 中的所有 nginx 日志(访问/错误)日志,但我无法这样做。

所有的日志都转发到“/var/ossec/logs/archives/archives.log”,在wazuh/kibana中是不可见的。

我是否必须在规则中添加任何更改。

0 投票
1 回答
213 浏览

salt-stack - 通过 saltstack 更改 ossec(wazuh) 代理配置文件

我正在尝试修改文件的<config-profile>部分ossc.conf,包括谷物内容。

就像是:

我想<config-profile>

ossec.conf文件中

任何想法?

0 投票
2 回答
1432 浏览

customization - WAZUH/OSSEC - 覆盖规则似乎不起作用

我正在尝试根据文档覆盖规则,如下所示

https://documentation.wazuh.com/3.12/learning-wazuh/replace-stock-rule.html

因此,我将一条规则复制到 local_rules.xml,创建了自己的组(在此之前还尝试将其放在规则的原始组标记中),但似乎完全忽略了它:

这就是我在 local_rules.xml 中的内容:

我只将级别更改为 9 并添加了 overwrite="yes" 标记。这个想法是它不会向我发送此警报(因为我的阈值设置为 10+ 级),保存,重新启动,但它完全忽略它,我仍然收到带有 10 级标签的警报。

坦率地说,我开始不知道为什么会这样。

有任何想法吗?

谢谢。

0 投票
3 回答
8576 浏览

ossec - Wazuh代理无法连接

我有两个问题。我的直接问题是 WAZUH-AGENT 从未连接到 WAZUH-MANAGER

A. 这让我想,在安装 Wazuh Manager 时,我们在哪里提供 WAZUH MANAGER IP?

B. 我将 Windows 和 RHEL 机器注册为代理,但它们都无法连接 - 所有代理都处于 NEVER CONNECTED 状态。

从 windows 来看,是错误的。我正在使用端口#1515 和 TCP

错误:(1216):无法连接到'xx.xxx.105.75':'连接尝试失败,因为连接方在一段时间后没有正确响应,或者连接失败,因为连接的主机没有响应。

我什至尝试将 Kibana-Wazuh 应用程序中的 1515 更改为 1519。并将我的代理 IP 添加到白名单中,不确定这是否重要。

0 投票
1 回答
286 浏览

ids - OSSEC 将允许的字段从解码器添加到规则描述

我正在将 OSSEC 用于 HIDS。

我创建了一个自定义解码器并从日志中提取字段,如srcipdstipprotocol

这是使用 ./ossec-logtest 测试的日志

为日志编写的解码器是:

它的规则是:

这是 ossec-logtest 的结果

现在主要的问题是:

是否可以将解码器中的 srcip 添加到规则描述中,以便在引发警报时将其显示在描述中。

我对 ossec-logtest 阶段 3 的预期结果是:

0 投票
1 回答
396 浏览

mysql - 无法分析 OSSEC 中的 MySQL 错误日志

我正在尝试分析在我的 OSSEC 代理上生成的 MySQL 错误日志并使用 OSSEC 服务器发出警报。

这是添加到代理端/var/ossec/etc/ossec.conf的代码块,用于从代理读取MySQL的错误日志:

这样做之后,我重新启动了代理和服务器,但无法测试代理端生成的任何错误日志,例如:

根据警告下的文档https://ossec-docs.readthedocs.io/en/latest/docs/programs/ossec-logtest.html ,我们需要将 MySQL log: 添加到为 ossec-logtest 生成的日志中。

当我们将这些日志发送到 OSSEC 服务器以从代理进行分析时,这将自动添加。

MySQL 错误日志的 ossec-logtest 结果

ossec-logtest 在将 MySQL log: 添加到开头后工作正常,但它们不能实时工作。

谁能帮我解决这个问题。

0 投票
3 回答
480 浏览

elasticsearch - 无法访问 Kibana 站点

所以我正在尝试设置一个 Wazuh 服务器,安装后我收到了消息This site can't be reached。当我尝试使用这样的端口卷曲 IP 时: curl http://192.168.1.108:5601它没有显示任何内容,甚至没有错误。Kibana 作为服务运行,甚至提供绿色信号和 http 链接以访问面板。

kibana.yml:

更改了参数 elasticsearch.yml

更改参数 filebeat.yml

我已按照以下指南进行设置:https ://documentation.wazuh.com/3.13/installation-guide/installing-wazuh-manager/linux/ubuntu/wazuh_server_packages_ubuntu.html

卷曲http://192.168.1.108:9200给出以下内容:

0 投票
1 回答
891 浏览

file - Kibana FIM 模块中不存在 WAZUH 文件完整性监控的自定义规则(但在所有事件中都存在)

我正在按照 Wazuh FIM 的示例更改事件的严重性。应用该规则后,我开始在新规则 id:100345 下接收 Kibana 事件,这就是我想要的(在所有事件部分下)。但是我停止接收原始事件,例如规则 550 的事件(校验和已更改)我假设是因为该新规则。因此,Kibana FIM 模块也没有显示任何事件。

所以我的问题是:

  • 我可以配置发布展位活动的 WAZUH(本地 100345 和原始 550)吗?
  • 我可以配置 FIM,它也使用来自我的新本地规则的事件,ID 为 100345?
0 投票
1 回答
573 浏览

elasticsearch - 达到 1000 个最大分片。我想增加或清除现有并重新开始。我有 5 台服务器正在监控

我试图用这个来增加碎片......但无济于事。

我在上面有一个错字......它返回了以下错误:

"error":{"root_cause":[{"type":"illegal_argument_exception","re​​ason":"无效版本格式:-H CONTENT-TYPE: HTTP/1.1"}],"type":"illegal_argument_exception","原因":"无效的版本格式:-H CONTENT-TYPE: HTTP/1.1"},"status":400}curl: (3) [globbing] 第 44 列中的嵌套大括号

请指教。想法。Elasticsearch 正在运行,Zabbix 正在运行,logstash 正在运行,一切看起来都很开心,但达到了 1000/1000 分片的限制。

0 投票
1 回答
1082 浏览

logging - 日志中的 Wazuh 代理连接失败和损坏的有效负载错误

我已经给了 Wazuh manager IP 和用户名和密码。我在笔记本电脑上安装了 wazuh 代理,但它连接到 Manager IP。它没有返回授权密钥并在日志文件中抛出错误。

重要的提示:

我正在使用 VPS 并在其上安装 Wazuh 代理。错误是


12345678910