[Wazuh] 와저 이벤트 Discover, 디코더 설정

참고 블로그 : https://dobby-isfree.tistory.com/75

Elastic Stack : https://documentation.wazuh.com/4.5/deployment-options/elastic-stack/index.html

 

와저 이벤트 연동하는거 해보려고 했는데

보니까 자료가 Elastic Stack 방식 같네유

 

Elasticsearch / Manager+Filebeat / Kibana 이렇게 각각 설치해도 되고

한 서버에 올인원으로 설치해도 된다

 

Discover 에 보면 알아서 sca 로그 뜸

다른것도 출력하고 싶으면 설정해야댐

/var/ossec/etc/decoders/local_decoder.xml

/var/ossec/etc/rules/local_rules.xml

↑↑ 요렇게 설정해 놓으면

에이전트의 /var/ossec/etc/ossec.conf 에 있는 로그 파일들을 감시한다고 함

(rocky linux 는 syslog 가 /var/log/messages 여서 이거 추가해줘야 함)

그래서 에이전트의 /var/log/syslog 에 보면 이렇게 로그 남겨져 있고

(rocky linux 면 /var/log/messages 에 남겨짐)

룰셋 테스트에서 돌려보면 잘 나옴

추가한 디코더는 여기서 볼 수 있음

안되면 에이전트 /var/ossec/etc/local_internal_options.conf 에 아래 3개 설정해봐

wazuh_command.remote_commands=1 sca.remote_commands=1 logcollector.remote_commands=1