Как получить предупреждения журнала OSSEC в Elasticsearch (ELK)?
Я пробовал этот урок. Но он не перехватил журнал OSSEC (оповещения, системный журнал и т. Д.), Он просто дал мне это сообщение для моих приложений Kibana.
Не удалось найти данные Elasticsearch Вам нужно будет проиндексировать некоторые данные в Elasticsearch, прежде чем вы сможете создать шаблон индекса.
Я знаю, что есть такой учебник, как этот. Но это необходимо использовать wazuh пакет, и я не хочу его использовать, я просто хочу использовать чистый OSSEC. Мои приложения OSSEC и ELK находятся на машине samw
Мой вопрос: как я могу интегрировать OSSEC с ELK? Какую конфигурацию мне нужно сделать перед запуском подключенного OSSEC к ELK?
1 ответ
Вам необходимо загрузить шаблон данных, чтобы Elastisearch мог понять формат данных оповещения. Вы можете использовать тот, который сделан Wazuh, или вы можете скачать его и изменить, чтобы "сделать свой собственный". Если вы пойдете по этому пути, вы в конечном итоге попытаетесь переписать Wazuh, что вам не нужно делать, потому что это открытый исходный код. Вы можете просто скачать все исходные файлы и делать с ними все, что захотите.
Команда для загрузки шаблона:
curl https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -XPUT 'http://localhost:9200/_template/wazuh' -H 'Content-Type: application/json' -d @-
Скачать шаблон:
-ИЛИ ЖЕ-
Вы можете просто раскрутить контейнер Docker, который готов к работе: