11.05.2025

SIEM WAZUH Як завжди поломал, но потім починив. Качаемо інсталятор усе в одному 
curl -sO https://packages.wazuh.com/4.12/wazuh-install.sh && sudo bash ./wazuh-install.sh -a -v
Якщо щось пійшло не так: перевірка: 
curl -u admin:password -k https://localhost:55000/security/user/authenticate
curl -u admin:'password' -k https://localhost:9200
видалення 
apt purge wazuh-manager wazuh-api wazuh-indexer -y.
rm -rf /var/ossec
rm -rf /etc/ossec-init.conf
rm -rf /etc/systemd/system/wazuh-manager.service
rm -rf /var/log/wazuh*
rm -rf /etc/filebeat/modules.d/wazuh*
rm -rf /var/lib/wazuh-indexer /etc/wazuh-indexer
Робота з WAZUH. Видалення у dev-tools 
POST wazuh-alerts-*/_delete_by_query
{
  "query": {
    "match": {
      "data.sysloghost": "192.168.1.18"
    }
  }
}
виключення 
<group name="local,">
  <rule id="100001" level="0">
    <decoded_as>json</decoded_as>
    <description>Exclude SASL PLAIN authentication failed warnings from postfix logs</description>
    <field name="data.message">warning: logserver[192.168.1.18]: SASL PLAIN authentication failed: authentication failure</field>
    <field name="data.programname">postfix</field>
    <field name="data.service.type">system</field>
    <field name="data.sysloghost">192.168.1.2</field>
    <level>0</level>
  </rule>
</group>
Отримати усе що приходить на порт 
socat -u TCP-LISTEN:5050,fork STDOUT > logfromsender.log
тестування правил: 
 /var/ossec/bin/ossec-logtest -v

Комментариев нет :

Отправить комментарий

Подписаться на: Комментарии к сообщению ( Atom )