问题标签 [wazuh]

wazuh首先让我说我对and不是很熟悉kibana。

我正在 Angular 中创建一个 Web 应用程序，我需要wazuh在其中嵌入图表。我需要导出的示例图表：

我被告知有可能做到这一点，但不知道如何去做。我正在考虑从 API 中提取数据并重新创建图表。为了做到这一点，我试图找出用于wazuh创建原始图形的库，但我失败了。您知道用于生成这些图表的库吗？或者，如果它是专有解决方案？也许您知道将这些图表嵌入 Web 应用程序的更好方法？

我刚刚从它的 OVA 安装了 WAZUH。

Web 界面是 admin/admin

当我从 Web 界面单击重置密码时，我收到此错误

进入 wazug 管理员密码重置截图

我已经用谷歌搜索/扫描了文档，但不知道如何更改它。

我已经看过了/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/config.yml，也看不到选项？

一个简单的修复，但它不仅仅是通过搜索/阅读手册出现在我身上

我计划保护管理员密码，然后创建一个用户帐户来完成我的工作

提前感谢

我们确实有一台服务器 [Windows Server 2016]，我想通过安装 Wazuh Tool 来监控该服务器。

我看到了文档，但我仍然感到困惑。我是否需要安装，

在服务器中。？我没有看到任何与在 Windows 机器中安装 Wazuh Server 相关的文章。

在跟进 wazuh 文档后，我可以达到一定的限制。

1. 在 Windows Server 中安装了 Virtual Box。
2. 下载 Wazuh OVA 文件并将其导入虚拟盒子。
3. 现在我可以使用默认凭据连接到 Wazuh Server。

现在我卡在一个地方。我需要获取IP。我尝试使用“Ip addr”命令。但仍然显示 127.0.0.1/8

据我检查，它正在创建一些动态 IP。有没有办法设置静态IP。这样，我就可以通过该 IP 访问 Wazuh Web 控制台。

我的一些发现：

似乎虚拟机的 eth0 网络接口没有分配给它的 IPv4 地址。

在运行“ip addr”时文档的视频中，它显示了一个动态 IPv4 地址以及 IPv6 地址，所以我怀疑这是您无法访问 Web 控制台的原因。这可能是由您为虚拟机中的虚拟机创建的网络接口类型引起的。

-------- 已编辑---------

根据您的指导，我做了以下事情。

瓦祖服务器：

1. 虚拟盒 -> 适配器 1 -> 桥接适配器
2. Virtual Box -> 适配器 2 -> 仅主机适配器
3. 启动 Virtual Box 并检查“Ip addr”命令。得到以下 IP，eth0 [192.168..] 和 eth1 [10.0..]
4. 在浏览器中，我尝试了 https://192.168 .. 我可以登录到 kibana。

华祖代理：

我要监控的服务器，我安装了 Wazuh Agent。在 Wazuh 配置文件中，我需要指定

在这里我有点困惑。我是否需要提供实际的服务器 IP [wazuh 服务器所在的位置] 还是我需要指定我在“Ip Addr”命令中获得的 IP。

我已经尝试了所有的IP。当我检查日志时，它显示为，

start_agent.c:100 at connect_server()：错误：（1216）：无法连接到“xx.xx.xx.xxx”：“错误的文件描述符”。

我在docker中有用于elasticsearch、kibana和ssl安全的开放发行版的Wazuh 4生产集群，我正在尝试将logstash（logstash的docker镜像）与elasticsearch连接起来，我得到了这个：

我已经为 logstash 生成了 ssl 证书，尝试了其他方式（通过 filebeat 模块更改了 logstash 的输出）连接但没有成功。Wazuh 4这个问题的解决方案是什么？

在 Elasticsearch 中，我想将两个日志（natlog和Gateway log）与 DSL 查询进行比较。

在 nat 日志中有srcip1并且在网关日志中有srcip2

srcip1 === srcip2如果满足此条件，我想"agent.id"在结果中显示。

最重要的是，我将提出我已经做出的相关查询

我尝试了多种方法，但没有成功。

''' \log [13:36:52.255] [warning][admin][elasticsearch] 无法恢复连接：http://localhost:9200/
log [13:36:52.277] [warning][admin][elasticsearch ] 没有活动连接
日志 [13:36:52.279] [警告][task_manager] PollError 没有活动连接
日志 [13:36:53.810] [警告][admin][elasticsearch] 无法恢复连接：http://localhost: 9200/ log [13:36:53.836] [warning][admin][elasticsearch] No living connections
log [13:36:56.456] [warning][admin][elasticsearch] 无法恢复连接：http://localhost: 9200/
log [13:36:56.457] [warning][admin][elasticsearch] 没有实时连接
log [13:36:56.458] [warning][task_manager] PollError No Living connections log [13:36:57.348] [warning][admin][elasticsearch] 无法恢复连接：http://localhost:9200/
log [ 13:36:57.349] [警告][admin][elasticsearch] 没有实时连接'''

通过 Windows 连接到 kibana 时出现上述错误。我使用安装了 wazuh 服务器OVA image.

Kibana.yml配置文件包含所有这些条目： server.host,server.ssl,server.ssl.key,server.ssl.certificate,telemetry.enabled

我目前在本地模式下运行 ossec 3.6 并将数据转发到 Splunk。我似乎在 wazuh 中找不到类似的东西——我错过了什么吗？我们真的不希望有一个经理，因为我们所有的数据都流向了 Splunk。我们希望继续以 Splunk 格式输出 ossec/wazuh 数据并直接发送到 Splunk。我已经用谷歌搜索并阅读了 wazuh 文档，但找不到任何解决此问题的内容。这可能吗？

我正在尝试为 opendistro elasticsearch 设置异常检测。在他们的官方网站上，他们有解释如何设置它的文档。https://opendistro.github.io/for-elasticsearch-docs/docs/ad/#get-started-with-anomaly-detection

但是，是否有任何网站提供其他人创建和使用的配置，例如检测任何特定的可疑活动？为了检测特定的异常活动，在数据过滤器、特征和类别字段中添加什么？

我正在运行 Wazuh 4.1.5 并仅在 Debian 10 机器上安装 Wazuh 管理器。启动 Wazuh 导致错误信息

就是这样。日志记录是否有调试模式？我的客户在“独立”模式下使用 Wazuh 管理器并使用 rsyslog 转发日志。没有安装代理。

我在 ossec.conf 上运行了 xmllint，它作为有效的 xml 返回。我不知道下一步该去哪里。TIA 寻求帮助。

我正在努力编写自定义 wazuh 规则，以便在编写特定命令（powershell 和 bash）时发送警报。

谁能帮我？

提前致谢！