问题标签 [wazuh]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
112 浏览

elasticsearch - 如何更改我自己的所有 Wazuh-Kibana-App 徽标?

我想从 Wazuh GUI 更改所有徽标,包括所有 Kibana 和 Wazuh 以及 Elastic-search 徽标和包含名称的文本。

0 投票
1 回答
122 浏览

python - FileNotFoundError:[Errno2]:没有这样的文件或目录:

我正在尝试为我的工作制作服务器强化脚本,其中一部分是在将连接到 SIEM 管理器的服务器上安装 wazuh-agent。

该脚本有 2 个部分,其中一个添加了 repo 条目 - 工作正常。

第二部分安装 wazuh 代理(代码如下)。当我在 shell 上运行命令时,它们工作正常,但是使用脚本它给了我以下错误。

以下是错误[运行错误]

1

0 投票
2 回答
132 浏览

indexing - KIBANA - WAZUH 模式索引

我有一个项目要在 linux、AIX 和 windows 上将 wazuh 安装为 FIM。我设法在所有系统上安装了 Manager 和所有代理,我可以看到所有三个在 Kibana 网络上作为代理连接。

我在 linux 代理上创建了测试文件,我也可以在 Web 界面上找到它,因此服务器已连接。 这是在 wazuh 库存选项卡中找到的测试文件

但是,如果我修改此测试文件,我不会收到任何日志。

这是我在代理服务器上 syscheck 下的 ossec.conf 中的设置>

现在我也在努力理解索引模式、索引模板和字段的含义。我不明白它们是什么以及为什么我们需要设置它。

我在管理服务器上的设置 - /usr/share/kibana/data/wazuh/config/wazuh.yml

在 kibana 网络上,当我尝试检查 ,,events,, 时也出现此错误 - 事件中没有日志。

谢谢你。

0 投票
1 回答
48 浏览

wazuh - 在 Wazuh 中,powershell 的 rule.level 与 alerts.json 不同


我在 /var/ossec/etc/rules/local_rules.xml 中有一个 powershell 规则
规则是:

如您所见,rule.level 为 12。但是当我查看 alerts.json 时,我看到了这个结果。

rule.level 为 8。可能是什么问题,我该如何解决?

0 投票
0 回答
49 浏览

elasticsearch - Wazuh - Filebeat - Elasticsearch 非零指标

你能帮我解决这个 Filebeat 错误吗?

它的 Wazuh 管理服务器。一切正常,我可以连接到 Kibana 网络,进入 Wazuh 应用程序,我可以看到我的三个 Wazuh 代理已连接并处于活动状态。

我想要 FIM 监控 nad 如果我更改代理服务器上的文件,则会创建警报,并且我可以在管理服务器上的 alert.log 中看到该警报。问题是,Filebeat 不会将此警报发送到 elasticsearch,因此我无法在 Kibana 网络上看到该警报。

Wazuh经理> Wazuh 4.2.5 Filebeat 7.14.2 Elasticsearch 7.14.2 Kibana 7.14.2

Wazuh 警报日志 - /var/ossec/logs/alerts/2022/Feb/ 和 /var/ossec/logs/alerts

systemctl status filebeat 处于活动状态,但我可以看到那里的行:

WARN [elasticsearch] elasticsearch/client.go:405 Cannot>

这是来自 > filebeat -e 的错误

2022-02-03T12:46:20.386+0100 INFO [monitoring] log/log.go:153 Total non-zero metrics {"monitoring": {"metrics": {"beat":{"cgroup":{"memory":{"id":"session-248447.scope","mem":{"limit":{"bytes":9223372036854771712},"usage":{"bytes":622415872}}}},"cpu":{"system":{"ticks":70,"time":{"ms":72}},"total":{"ticks":300,"time":{"ms":311},"value":300},"user":{"ticks":230,"time":{"ms":239}}},"handles":{"limit":{"hard":262144,"soft":1024},"open":9},"info":{"ephemeral_id":"641d7fdd-47a0-4b10-bda9-36f29c29fdef","uptime":{"ms":98413},"version":"7.14.2"},"memstats":{"gc_next":18917616,"memory_alloc":14197072,"memory_sys":75383816,"memory_total":71337840,"rss":115638272},"runtime":{"goroutines":11}},"filebeat":{"harvester":{"open_files":0,"running":0}},"libbeat":{"config":{"module":{"running":2,"starts":2},"reloads":1,"scans":1},"output":{"events":{"active":0},"type":"elasticsearch"},"

这是在 /var/log/messages 中发现的错误

Feb 3 10:27:54 filebeat[2531915]: 2022-02-03T10:27:54.707+0100#011WARN#011[elasticsearch]#011elasticsearch/client.go:405#011Cannot index event publisher.Event{Content:beat.Event{Timestamp:time.Time{wall:0xc07705e669760167, ext:958857091513, loc:(*time.Location)(0x5620964fb2a0)}, Meta:{"pipeline":"filebeat-7.14.0-wazuh-alerts-pipeline"}, Fields:{"agent":{"ephemeral_id":"33cb9baa-af71-4b44-99a6-1379c747722f","hostname":"xlc","id":"03fb57ca-9940-4886-9e6e-a3b3e635cd35","name":"xlc","type":"filebeat","version":"7.14.0"},"ecs":{"version":"1.10.0"},"event":{"dataset":"wazuh.alerts","module":"wazuh"},"fields":{"index_prefix":"wazuh-monitoring-"},"fileset":{"name":"alerts"},"host":{"name":"xlc"},"input":{"type":"log"},"log":{"file":{"path":"/var/ossec/logs/alerts/alerts.json"},"offset":122695554},"message":"{\"timestamp\":\"2022-02-03T10:27:52.438+0100\",\"rule\":{\"level\":5,\"description\":\"Registry Value Integrity Checksum Changed\",\"id\":\"750\",\"mitre\":{\"id\":[\"T1492\"],\"tactic\":[\"Impact\"],\"technique\":[\"Stored Data Manipulation\"]},\"firedtimes\":7,\"mail\":false,\"groups\":[\"ossec\",\"syscheck\",\"syscheck_entry_modified\",\"syscheck_registry\"],\"pci_dss\":[\"11.5\"],\"gpg13\":[\"4.13\"],\"gdpr\":[\"II_5.1.f\"],\"hipaa\":[\"164.312.c.1\",\"164.312.c.2\"],\"nist_800_53\":[\"SI.7\"],\"tsc\":[\"PI1.4\",\"PI1.5\",\"CC6.1\",\"CC6.8\",\"CC7.2\",\"CC7.3\"]},\"agent\":{\"id\":\"006\",\"name\":\"CPP\",\"ip\":\"10.74.37.3\"},\"manager\":{\"name\":\"xlc\"},\"id\":\"1643880472.68132386\",\"full_log\":\"Registry Value '[x32] HKEY_LOCAL_MACHINE\\\\System\\\\CurrentControlSet\\\\Services\\\\W32Time\\\\Config\\\\LastKnownGoodTime' modified\\nMode: scheduled\\nChanged attributes: md5,sha1,sha256\\nOld md5sum was: '5df5b1598b729d98734105148103abf2'\\nNew md5sum is : '361334bf60bdd83e30894c4f313d16ec'\\nOld sha1sum was: 'c233c8ccb56fbd363c44b51a9d51c7fa32512474'\\nNew sha1sum is : '7163cffa48f1a7c0bcb4a3ddff6278ae9a4895a6'\\nOld sha256sum was: '3aad3da22f2d53e8ac33c46c73f40c3e8f5db07188d166e24957d8a20b62b5f1'\\nNew sha256sum is : 'bee8072335d870a1624a541cb13ca5085ba85646a8417d4d894deff71c3f4a92'\\n\",\"syscheck\":{\"path\":\"HKEY_LOCAL_MACHINE\\\\System\\\\CurrentControlSet\\\\Services\\\\W32Time\\\\Config\",\"mode\":\"scheduled\",\"arch\":\"[x32]\",\"value_name\":\"LastKnownGoodTime\",\"size_after\":\"8\",\"md5_before\":\"5df5b1598b729d98734105148103abf2\",\"md5_after\":\"361334bf60bdd83e30894c4f313d16ec\",\"sha1_before\":\"c233c8ccb56fbd363c44b51a9d51c7fa32512474\",\"sha1_after\":\"7163cffa48f1a7c0bcb4a3ddff6278ae9a4895a6\",\"sha256_before\":\"3aad3da22f2d53e8ac33c46c73f40c3e8f5db07188d166e24957d8a20b62b5f1\",\"sha256_after\":\"bee8072335d870a1624a541cb13ca5085ba85646a8417d4d894deff71c3f4a92\",\"changed_attributes\":[\"md5\",\"sha1\",\"sha256\"],\"event\":\"modified\"},\"decoder\":{\"name\":\"syscheck_registry_value_modified\"},\"location\":\"syscheck\"}","service":{"type":"wazuh"}}, Private:file.State{Id:"native::1049-64776", PrevId:"", Finished:false, Fileinfo:(*os.fileStat)(0xc000fc9380), Source:"/var/ossec/logs/alerts/alerts.json", Offset:122697450, Timestamp:time.Time{wall:0xc07704f6d4cb3764, ext:510354422, loc:(*time.Location)(0x5620964fb2a0)}, TTL:-1, Type:"log", Meta:map[string]string(nil), FileStateOS:file.StateOS{Inode:0x419, Device:0xfd08}, IdentifierName:"native"}, TimeSeries:false}, Flags:0x1, Cache:publisher.EventCache{m:common.MapStr(nil)}} (status=400): {"type":"illegal_argument_exception","reason":"data_stream [<wazuh-monitoring-{2022.02.03||/d{yyyy.MM.dd|UTC}}>] must not contain the following characters [ , \", *, \\, <, |, ,, >, /, ?]"}

你能帮忙吗?我尝试了谷歌但没有成功。谢谢你。

0 投票
1 回答
38 浏览

kibana - Kibana 警报 aknowlidge-store-delete

您能否帮助我处理来自 Wazuh 作为 FIM 的 Kibana 警报?我成功地从 wazuh 代理获取警报并将其显示在代理事件中。

但我只能检查警报。没有按钮可以确认或删除看到的警报。由于我是 wazuh 监控的新手,请您告诉我,如何存储或设置警报器已完成?

谢谢你。

0 投票
1 回答
44 浏览

kibana - Wazuh Plugin for kibana 7.17.x 版本

我正在尝试在 kibana 上安装 wazuh。但是我发现我的 kibana 版本与基于此 repo https://github.com/wazuh/wazuh-kibana-app的 wazuh 最新版本(7.14.x)不兼容的问题。kibana 7.17.2版本有wazuh插件吗? 在此处输入图像描述

0 投票
1 回答
54 浏览

active-directory - Wazuh Kibana 活动目录

我已经安装了带有 elasticsearch 和 kibana 的 wazuh manager 服务器。我现在可以在没有登录的情况下访问 kibana 网络。现在我想将其设置为通过整个公司的 AD 访问权限访问 wazuh。

  1. 可以在免费版本上做到这一点,还是我需要购买弹性?
  2. AD 应该设置在 Wazuh 登录,或 Kibana 网络登录,或弹性搜索?我知道可以为所有三个应用程序设置登录,但我很难找出哪个是用于 AD 的。

谢谢