переход с ossec на wazuh - «локальный / автономный» режим?

Question

переход с ossec на wazuh - «локальный / автономный» режим?

В настоящее время я запускаю ossec 3.6 в локальном режиме и пересылаю данные в Splunk. Кажется, я не могу найти что-то подобное в wazuh - я что-то упускаю? Мы действительно не хотим иметь менеджера, так как все наши данные в любом случае отправляются в Splunk. Мы хотели бы продолжить вывод данных ossec/wazuh в формате Splunk и отправлять их прямо в Splunk. Я погуглил и прочитал wazuh docs, но не могу найти ничего, что могло бы решить эту проблему. Это возможно?

0

splunk wazuh ossec

Источник

user1309220 04 июн '21 в 14:57

1 ответ

Другие вопросы по тегам splunk wazuh ossec

user11735561 07 июн '21 в 10:11 2021-06-07 10:11 · Answer 1 · 2021-06-07 10:11

В настоящее время в Wazuh нет возможности использовать автономные агенты.

Однако менеджеры Wazuh также действуют как автономные агенты. Следовательно, если система, которую вы хотите отслеживать, - это Linux, вы можете напрямую установить туда пакет Wazuh-manager, и он позаботится о сборе и анализе своих локальных журналов. Взгляните на этот документ, если он помогает при переносе сервера OSSEC .

Если ваша целевая версия отличается от Linux (Windows, macOS и т. Д.), Альтернативы нет, и вам придется установить Wazuh-manager на экземпляр Linux, которому агент может сообщать. Агенты без менеджера ничего не могут сделать.

Надеюсь, это решит ваш вопрос!