问题标签 [wazuh]

在 Wazuh 中设置 Slack 集成时，如何指定 ca-cert 或禁用 SSL 验证？我在文档中看不到任何指令（https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/integration.html）

当我尝试使用 wazuh 重新安装 elk 时出现此错误

我已经从https://github.com/wazuh/wazuh-kibana-appWazuh-Kibana-app克隆了源代码

我在样式上做了一些改变。所以，我正在通过运行构建应用程序，npm run build但我收到了这个错误

找不到命令“插件助手”

我认为这是因为在文件中， 当它离开目录时package.json它会变得像这样。"plugin-helpers": "node ../../scripts/plugin_helpers"那么如何解决这个问题呢？

我想改变 wazuh Kibana 插件的样式我从 GitHub 下载源文件。在源文件中，我需要编辑哪个文件，就像我想更改安全、扫描等步骤一样？

我对安装 Elasticsearch 的 wazuh-cert-tool.sh 脚本有疑问。他运行正确，他说在 /root/certs 中生成正确的证书，但我没有找到这个证书。

退出脚本信息和 /root/certs 中的 ls -l：

PS：没有执行权限问题或其他，脚本以正确的权限启动

你有什么想法吗？

我在 wazuh-db 上遇到问题，这是 wazuh-manager 上的一项服务。

问题是在访问 wazuh web 界面时，我有一个“检查 Wazuh API 连接”错误这是错误：

检查 Wazuh API 连接“错误”

问题来自未启动的 wazuh-db 服务。

多次重启 wazuh-managersystemctl status wazuh-manager或通过/var/ossec/bin/wazuh-control stopand/var/ossec/bin/wazuh-control start

他仅在“启动”时杀死了 wazuh-db 服务，他解释说当他没有它时它已经在运行。

结果命令/var/ossec/bin/wazuh-control start

我可以通过这种方式成功启动它： /var/ossec/bin/wazuh-db -fd它允许启动它。此时我可以访问 wazuh Web 界面，并且不再出现错误“Ckeck Wazuh API 连接”

结果命令/var/ossec/bin/wazuh-db -fd

但这只是一种临时方法，我希望在启动 wazuh-manager 时启动我的服务。

你有什么想法 ？

谢谢

我在从客户生产环境中捕获交换日志时遇到问题。日志存在于一组目录中，并被标记为：

这些日志将涵盖 10 月 10 日 02、03 时和 04 时的两组。

现在，我可以在配置中添加一个 ossec 条目，例如：

但是，问题在于这个小时字段，与日期字段的其余部分一样，strftime 替换仅在代理启动/重新启动时进行评估。因此，如果我在零小时添加一个条目，它可能会捕获一天的第一个，但除非我每小时重新启动，否则它不会捕获任何日志。有什么办法可以从一天中的每个小时捕获日志吗？我不能将通配符和 strftime 混合使用，所以如果我使用通配符，整个文件名 wazuh 将在负载下崩溃，因为一个已知问题是它只能在硬死之前处理这么多的流量。有什么想法吗？

我正在尝试使用 wazuh 4.x 中的子解码器解析如下所示的日志，由于某种原因它没有解析所需的字段

日志条目

儿童解码器

输出

我想为 wazuh-kibana-app 运行本地开发服务器，所以我可以修改应用程序的 ui .. 但是每次我尝试使用“npm start”运行开发服务器时，我都会收到响应错误：

这整个反应对我来说是模糊的..我在这里错过了什么？应该做什么或安装什么来使用 npm start 运行开发服务器？换句话说，“我应该怎么做才能在我的电脑上的 localhost 上运行 wazuh-kibana-app”

我正在尝试用我自己的自定义 UI 替换 Kibana 并将其与 wazuh 应用程序一起使用……这可能吗？如何？我构建我的 UI 并尝试查找 Kibana 调用以获取数据的端点，但很难找到它们，我认为 Kibana 为自己的图表制作数据，因此我找不到端点。现在我什至不能做登录方法，没有任何工作。有人可以帮助我以正确的方式做到这一点吗？