我在 4.3(最新版本)上运行 wazuh,我担心以下情况: 假设我将 syscheck 配置为在凌晨 5 点运行。 白天进行了一些更改。 机器在凌晨 2 点重新启动。 机器现在已经丢失了从凌晨 5 点到凌晨 2 点所做的所有更改。 如果我从我的 ossec 测试中没记错的话,该程序将它的本地数据库 ...
我在 4.3(最新版本)上运行 wazuh,我担心以下情况: 假设我将 syscheck 配置为在凌晨 5 点运行。 白天进行了一些更改。 机器在凌晨 2 点重新启动。 机器现在已经丢失了从凌晨 5 点到凌晨 2 点所做的所有更改。 如果我从我的 ossec 测试中没记错的话,该程序将它的本地数据库 ...
我正在尝试添加 Wazuh 存储库以按照 Ubuntu VM 中文档页面中的说明下载官方 Wazuh 软件包。 当我运行他们的文档页面中指定的命令时: 我遇到以下错误: 请记住,我已经找到了解决此问题的方法,我想与其他可能面临相同问题的人分享。 我将在下面发布答案。 ...
我已经在公共实例中安装了 OSSEC 服务器,在同一 VPC 中的 AWS 上的私有实例中安装了 OSSEC 代理。 我已经成功安装了 OSSEC 服务器和代理,但无法连接服务器和代理。 我指的是以下设置链接: https : //techviewleo.com/install-and-config ...
我正在尝试使用 wazuh 4.x 中的子解码器解析如下所示的日志,由于某种原因它没有解析所需的字段 日志条目 子解码器 输出 ...
我在从客户生产环境捕获交换日志时遇到问题。 日志存在于一组目录中,并标记为: 这些日志将涵盖 10 月 10 日的 02 点、03 点和 04 点的两组。 现在,我可以在配置中添加一个 ossec 条目,例如: 但是,问题是这个小时字段,与日期字段的其余部分一样, strftime 替换仅 ...
我正在评估(原版)OSSEC+(不是 Wazuh)。 如果我正确理解文档,则所有特定于规则的配置都必须在服务器上完成,这听起来很合理,因为我不想更改每个代理的配置,并且可能的攻击者将无法操纵它。 之后,我希望服务器上所述配置的更改以某种方式反映在代理上。 但这在我的情况下似乎不会发生。 对于测试 ...
我正在运行 Wazuh 4.1.5 并在 Debian 10 机器上仅安装 Wazuh 管理器。 启动 Wazuh 导致错误信息 就是这样。 日志记录有调试模式吗? 我的客户在“独立”模式下使用 Wazuh 管理器并使用 rsyslog 转发日志。 没有安装代理。 我在 ossec.conf ...
我目前在本地模式下运行 ossec 3.6 并将数据转发到 Splunk。 我似乎在 wazuh 中找不到类似的东西——我错过了什么吗? 我们真的不希望有一个经理,因为我们所有的数据都流向了 Splunk。 我们希望继续以 Splunk 格式输出 ossec/wazuh 数据并直接发送到 Splu ...
我使用ossec-authd方法在 Manager 服务器上添加了一个新代理,该方法在没有交互式提示输入的情况下在 Manager 服务器上注册了一个代理 IP。 我能够在管理器服务器上添加代理,但它显示代理 IP 地址为IP: any 。 我想查看代理的实际 IP 地址,例如IP: XXXX而不是 ...
我想自动化在 OSSEC 管理器服务器上注册 OSSEC 代理 IP 的过程。 我已经探索了许多关于它的链接和文章,但他们提到的所有地方都提到通过提示使用 /var/ossec/bin/manage_agents 输入 IP 值。 我指的是以下链接进行设置: https://www.digital ...
所以我们创建了一个带有我们自己的 ami 的自动缩放组,该 ami 有一个服务器和一个向 slack 通道报告的自动化 ossec 服务,问题是当一个新实例启动时,ossec 会发送很多警报,因为文件签名不同,这没关系,因为当启动新实例时,它会在新卷中重新创建 ami。 现在我如何在那些 ami ...
我已经提供了 Wazuh 管理器 IP 以及用户名和密码。 我在笔记本电脑上安装了 wazuh 代理,但它已连接到 Manager IP。 它没有返回授权密钥并在日志文件中抛出错误。 重要的提示: 我正在使用 VPS 并在其上安装 Wazuh 代理。 错误是 ...
我正在尝试分析在我的 OSSEC 代理上生成的 MySQL 错误日志并使用 OSSEC 服务器发出警报。 这是代理端/var/ossec/etc/ossec.conf中添加的代码块,用于从代理读取MySQL的错误日志: 这样做后,我重新启动了代理和服务器,但无法测试在代理端生成的任何错误日志, ...
我正在将 OSSEC 用于 HIDS。 我创建了一个自定义解码器并从日志中提取了字段,如srcip 、 dstip和protocol 。 这是使用 ./ossec-logtest 测试的日志 为日志编写的解码器是: 它的规则是: 这是 ossec-logtest 的结果 现在的主 ...
问题更多是关于架构的选择,然后是编码本身。 我将我的应用程序部署在 AWS ECS(由运行容器的 ec2 实例组成的集群)上。 如何在该设置中安装 OSSEC HIDS? 作为每个应用程序容器的辅助容器,还是应该以某种方式集中? 谢谢你的任何提示。 ...
我有两个问题。 我的直接问题是 WAZUH-AGENT 从未连接到 WAZUH-MANAGER A. 这让我想,在安装 Wazuh Manager 时,我们在哪里提供 WAZUH MANAGER IP? B. 我将 Windows 和 RHEL 机器注册为代理,但它们都无法连接 - 所有代理都处 ...
OSSEC 能否用于检查 docker 内部的文件。 从我读过的内容来看,OSSEC 只能监控主机的文件完整性。 ...
我正在尝试根据文档覆盖规则,如下所示 https://documentation.wazuh.com/3.12/learning-wazuh/replace-stock-rule.html 因此,我将一条规则复制到 local_rules.xml,创建了自己的组(在此之前还尝试将其放入规则的原始组标 ...
我想通过powershell自动运行ossec Windows Agent服务(ossec win32ui.exe)。 就像ossec Linux agent中的ossec-control。 有什么方法可以实现这个目标吗? 在powershell中运行win32ui.exe后的结果事实上,在这个操 ...
我开始使用 OSSEC,我想配置 Windows 代理。 我已经按照文档和这个. 我的服务器是一个虚拟机 ubuntu,我想要一个 Windows 代理。 这是活动代理的输出。 vm:/var/ossec/etc# /var/ossec/bin/list_agents -c ** 没有可用 ...