NGINX входит в WAZUH

Вы сможете видеть только логи, нарушающие правило. Эти оповещения можно найти в / var / ossec / logs / alerts. В / var / ossec / logs / archive вы можете найти все журналы, даже если они не нарушали никаких правил. По умолчанию logstash будет отправлять журналы только в папку оповещений.

Как сказал Вишну Кс, Кибана будет показывать вам логи только тогда, когда они нарушают правила. Если вы хотите увидеть каждый журнал, который вы можете открыть файл archives.log, вы можете найти его там:

/var/ossec/logs/archives/archives.log

Тем не менее, по умолчанию wazuh не помещает туда ни одного журнала, потому что вы должны указать его в файле ossec.conf. Вы можете легко настроить это, выполнив:

vi /var/ossec/etc/ossec.conf

И там найдите глобальный раздел и измените значение logall на yes.

<global>
    <jsonout_output>yes</jsonout_output>
    <alerts_log>yes</alerts_log>
    **<logall>yes</logall>**
    <logall_json>no</logall_json>

Теперь перезапустите wazuh-менеджер, вызвав:

systemctl restart wazuh-manager

И, наконец, вы сможете увидеть все журналы внутри файла archives.log.

Надеюсь, поможет.

Чтобы просмотреть журналы кибаны, ваш журнал должен соответствовать правилам и генерировать предупреждение. Если ваш журнал не попадает в набор правил, он не будет отображаться на панели инструментов кибаны.

Вы можете просто проверить и убедиться, что ваш файл журнала и положение правила декодера, используя функцию ossec-logtest. https://documentation.wazuh.com/3.13/user-manual/reference/tools/ossec-logtest.html