问题标签 [wazuh]

我在我的设置中使用 NGINX，并在 IDS 中使用 wazuh。

我想检查 wazuh kibana 中的所有 nginx 日志（访问/错误）日志，但我无法这样做。

所有的日志都转发到“/var/ossec/logs/archives/archives.log”，在wazuh/kibana中是不可见的。

我是否必须在规则中添加任何更改。

我正在尝试修改文件的<config-profile>部分ossc.conf，包括谷物内容。

就像是：

我想<config-profile>从

至

在ossec.conf文件中

任何想法？

我正在尝试根据文档覆盖规则，如下所示

https://documentation.wazuh.com/3.12/learning-wazuh/replace-stock-rule.html

因此，我将一条规则复制到 local_rules.xml，创建了自己的组（在此之前还尝试将其放在规则的原始组标记中），但似乎完全忽略了它：

这就是我在 local_rules.xml 中的内容：

我只将级别更改为 9 并添加了 overwrite="yes" 标记。这个想法是它不会向我发送此警报（因为我的阈值设置为 10+ 级），保存，重新启动，但它完全忽略它，我仍然收到带有 10 级标签的警报。

坦率地说，我开始不知道为什么会这样。

有任何想法吗？

谢谢。

我有两个问题。我的直接问题是 WAZUH-AGENT 从未连接到 WAZUH-MANAGER

A. 这让我想，在安装 Wazuh Manager 时，我们在哪里提供 WAZUH MANAGER IP？

B. 我将 Windows 和 RHEL 机器注册为代理，但它们都无法连接 - 所有代理都处于 NEVER CONNECTED 状态。

从 windows 来看，是错误的。我正在使用端口#1515 和 TCP

错误：（1216）：无法连接到'xx.xxx.105.75'：'连接尝试失败，因为连接方在一段时间后没有正确响应，或者连接失败，因为连接的主机没有响应。

我什至尝试将 Kibana-Wazuh 应用程序中的 1515 更改为 1519。并将我的代理 IP 添加到白名单中，不确定这是否重要。

我正在将 OSSEC 用于 HIDS。

我创建了一个自定义解码器并从日志中提取字段，如srcip、dstip和protocol。

这是使用 ./ossec-logtest 测试的日志

为日志编写的解码器是：

它的规则是：

这是 ossec-logtest 的结果

现在主要的问题是：

是否可以将解码器中的 srcip 添加到规则描述中，以便在引发警报时将其显示在描述中。

我对 ossec-logtest 阶段 3 的预期结果是：

我正在尝试分析在我的 OSSEC 代理上生成的 MySQL 错误日志并使用 OSSEC 服务器发出警报。

这是添加到代理端/var/ossec/etc/ossec.conf的代码块，用于从代理读取MySQL的错误日志：

这样做之后，我重新启动了代理和服务器，但无法测试代理端生成的任何错误日志，例如：

根据警告下的文档https://ossec-docs.readthedocs.io/en/latest/docs/programs/ossec-logtest.html ，我们需要将 MySQL log: 添加到为 ossec-logtest 生成的日志中。

当我们将这些日志发送到 OSSEC 服务器以从代理进行分析时，这将自动添加。

MySQL 错误日志的 ossec-logtest 结果

ossec-logtest 在将 MySQL log: 添加到开头后工作正常，但它们不能实时工作。

谁能帮我解决这个问题。

所以我正在尝试设置一个 Wazuh 服务器，安装后我收到了消息This site can't be reached。当我尝试使用这样的端口卷曲 IP 时： curl http://192.168.1.108:5601它没有显示任何内容，甚至没有错误。Kibana 作为服务运行，甚至提供绿色信号和 http 链接以访问面板。

kibana.yml：

更改了参数 elasticsearch.yml

更改参数 filebeat.yml

我已按照以下指南进行设置：https ://documentation.wazuh.com/3.13/installation-guide/installing-wazuh-manager/linux/ubuntu/wazuh_server_packages_ubuntu.html

卷曲http://192.168.1.108:9200给出以下内容：

我正在按照 Wazuh FIM 的示例更改事件的严重性。应用该规则后，我开始在新规则 id：100345 下接收 Kibana 事件，这就是我想要的（在所有事件部分下）。但是我停止接收原始事件，例如规则 550 的事件（校验和已更改）我假设是因为该新规则。因此，Kibana FIM 模块也没有显示任何事件。

所以我的问题是：

• 我可以配置发布展位活动的 WAZUH（本地 100345 和原始 550）吗？
• 我可以配置 FIM，它也使用来自我的新本地规则的事件，ID 为 100345？

我试图用这个来增加碎片......但无济于事。

我在上面有一个错字......它返回了以下错误：

"error":{"root_cause":[{"type":"illegal_argument_exception","re​​ason":"无效版本格式：-H CONTENT-TYPE: HTTP/1.1"}],"type":"illegal_argument_exception","原因":"无效的版本格式：-H CONTENT-TYPE: HTTP/1.1"},"status":400}curl: (3) [globbing] 第 44 列中的嵌套大括号

请指教。想法。Elasticsearch 正在运行，Zabbix 正在运行，logstash 正在运行，一切看起来都很开心，但达到了 1000/1000 分片的限制。

我已经给了 Wazuh manager IP 和用户名和密码。我在笔记本电脑上安装了 wazuh 代理，但它连接到 Manager IP。它没有返回授权密钥并在日志文件中抛出错误。

重要的提示：

我正在使用 VPS 并在其上安装 Wazuh 代理。错误是