我正在尝试将数据从 filebeat 直接发送到 wazuh-indexer,但我在 filebeat 和 elasticsearch 之间收到连接错误。以下是我的 filebeat 配置: 以下是错误: 谁能告诉我我在做什么错误? ...
我正在尝试将数据从 filebeat 直接发送到 wazuh-indexer,但我在 filebeat 和 elasticsearch 之间收到连接错误。以下是我的 filebeat 配置: 以下是错误: 谁能告诉我我在做什么错误? ...
我正在尝试按照官方文档https://documentation.wazuh.com/current/deployment-options/wazuh-from-sources/wazuh-agent/index.html从源代码构建 wazuh 代理。 据说本指南在 Ubuntu 20.04 上进 ...
我在 4.3(最新版本)上运行 wazuh,我担心以下情况: 假设我将 syscheck 配置为在凌晨 5 点运行。 白天进行了一些更改。 机器在凌晨 2 点重新启动。 机器现在已经丢失了从凌晨 5 点到凌晨 2 点所做的所有更改。 如果我从我的 ossec 测试中没记错的话,该程序将它的本地数据库 ...
我正在尝试使用以下步骤在 Ubuntu EC2 实例中部署 Wazuh docker 容器(安装了 docker 和 docker compose)。 我通过代理运行并创建了以下服务 预期行为(基于在 vanilla Ubuntu20 VM 中的部署) 这些命令的输出应该是 实际行为 任何人都可以建 ...
我正在我的 kube.netes 集群上部署 wazuh-manager,我需要从ossec.conf中禁用一些安全检查功能,我正在尝试使用来自wazuh-manager 图像,但如果我在 /var/ossec/etc/ossec.conf 上创建“volume mount”,它将删除 /var/ ...
我正在尝试将 wazuh 安装为 docker 容器,然后在输入 docker-compose up 后出现以下错误。 请帮忙 我试图删除图像并再次添加但仍然相同 ...
我正在尝试使用 API 执行从 Wazuh 管理器到代理的远程命令,低于我正在尝试执行的操作: 然后是回应: 问题很简单,命令“customA”没有在代理中触发。 这里是 MANAGER 中“/var/ossec/etc/ossec.conf”文件的主体: 这是 Windows 代理 001 中的“ ...
我尝试删除 wazuh 中的管理员用户,但我没有找到任何合适的文档如果有人知道这个解决方案请告诉我是否可以删除 wazuh 管理器仪表板中的管理员用户 ...
是否可以通过自定义 SSL 证书为 Wazuh Manager 提供服务? wazuh-certs-tool 为您提供自我认证,通过 SSL 获取它的所有其他方式都失败了。 我最接近让它工作的是我让仪表板由自定义 SSL 提供服务,我有代理成功连接到它并提供心跳,但日志流或事件发生为零。 当我在这 ...
我正在研究 Kibana 和 Elasticsearch。 我正在按照不同的教程创建自己的插件,但仍然坚持这项工作。 在通过 kibana-plugin-generator 创建插件期间,我安装了许多其他东西来生成插件,如 yarn nvm 等,但仍然无法生成。 之后,当我启动 kibana 服务 ...
例如,每天超过 4000 个事件应该有 email 通知。 ...
我收到了存档中的日志并在 wazuh-logtest 中对其进行了测试。 它运行良好,但在 alerts.log 中没有给出任何内容,我如何测试解码器它工作正常并在 wazuh 仪表板上生成事件和警报? 这是我的解码器 规则: 样本日志: 2022 年 9 月 13 日 09:59:26 (SHA ...
我用 Ubuntu 22.04.1 LTS 打开 VB。 并安装 wazuh 合而为一。 在我登录弹性并添加代理后,问题就开始了。 如果我尝试在我的 Windows 或朋友的 Windows 上的另一台机器上使用专用网络进行操作,它根本无法识别代理。 我尝试了我的公共和私人 ip 和 nuthing ...
当尝试使用podman运行docker-compose up我收到此错误output 创建单节点wazuh.dashboard_1 ...错误错误:对于单节点wazuh.dashboard_1无法为服务wazuh.dashboard创建容器:错误参数:不支持链接错误:对于wazuh.dashboa ...
我想在 wazuh 中添加代理,但我遇到了问题。 ...
想要与 VirusTotal 和 Yara 集成,但按照以下链接中的步骤,似乎主动响应无法按预期工作: https ://documentation.wazuh.com/current/user-manual/capabilities/active-response/ ar-use-cases/re ...
我用以下内容配置了 agent.conf: 如果我通过 cmd 手动运行 Yara,它就可以工作。 FIM 确实检测到新下载的恶意文件,但 Wazuh 主动响应不起作用。 在 active-response.log 中没有找到日志。 下面是存储在 /var/ yara.sh /var/oss ...
我在 Wazuh manager ossec.conf 中添加了 FIM 实时配置并使用命令“systemctl restart wazuh-agent”重新启动,我尝试在 Wazuh manager 服务器和其中一个 Wazuh 代理服务器中添加新文件,FIM 仅检测到 Wazuh manager ...
我正在尝试添加 Wazuh 存储库以按照 Ubuntu VM 中文档页面中的说明下载官方 Wazuh 软件包。 当我运行他们的文档页面中指定的命令时: 我遇到以下错误: 请记住,我已经找到了解决此问题的方法,我想与其他可能面临相同问题的人分享。 我将在下面发布答案。 ...
起初这似乎很容易,因为创建此索引的配置位于 /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json 但是将 index_name_format 更改为 'xxxx.ww' 并重新启动 filebeat,它仍然会写入旧的索引格式。 ...