如何将 OSSEC 的日志警报检索到 Elasticsearch (ELK) 中?
How to to retrieve OSSEC's log alerts into Elasticsearch (ELK)?
我试过了this tutorial。但它没有捕捉到 OSSEC 日志(警报、系统日志等),它只是为我的 Kibana 应用程序提供了这条消息。
Couldn't find any Elasticsearch data
You'll need to index some data into Elasticsearch before you can create an index pattern.
我知道有一些像this这样的教程。但它需要使用 wazuh 包,我不想使用它,我只想使用纯 OSSEC。我的 OSSEC 和 ELK 应用程序位于 samw 机器
我的问题是,如何将 OSSEC 与 ELK 集成?在开始将 OSSEC 连接到 ELK 之前,我必须先做哪些配置?
您需要加载数据模板,以便 Elastisearch 能够理解警报数据的格式。可以使用Wazuh制作的,也可以下载修改为"make your own"。如果你走这条路,你最终会尝试重写 Wazuh,你不需要这样做,因为它是开源的。你可以只下载所有的源文件,然后用它们做任何你想做的事。
加载模板的命令:
curl https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -XPUT 'http://localhost:9200/_template/wazuh' -H 'Content-Type: application/json' -d @-
下载模板:
-或-
您可以启动一个已准备就绪的 Docker 容器:
我试过了this tutorial。但它没有捕捉到 OSSEC 日志(警报、系统日志等),它只是为我的 Kibana 应用程序提供了这条消息。
Couldn't find any Elasticsearch data You'll need to index some data into Elasticsearch before you can create an index pattern.
我知道有一些像this这样的教程。但它需要使用 wazuh 包,我不想使用它,我只想使用纯 OSSEC。我的 OSSEC 和 ELK 应用程序位于 samw 机器
我的问题是,如何将 OSSEC 与 ELK 集成?在开始将 OSSEC 连接到 ELK 之前,我必须先做哪些配置?
您需要加载数据模板,以便 Elastisearch 能够理解警报数据的格式。可以使用Wazuh制作的,也可以下载修改为"make your own"。如果你走这条路,你最终会尝试重写 Wazuh,你不需要这样做,因为它是开源的。你可以只下载所有的源文件,然后用它们做任何你想做的事。
加载模板的命令:
curl https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -XPUT 'http://localhost:9200/_template/wazuh' -H 'Content-Type: application/json' -d @-
下载模板:
-或-
您可以启动一个已准备就绪的 Docker 容器: