防篡改
关注
分享
扫一扫
文章平均质量分 72
Devour_
刚入行的小程序员~
展开
-
wazuh应用之主机安装agent警告触发邮件
server端:#/var/ossec/bin/manage_agentagent端:安装Wazuh agent添加Wazuh存储库:#rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH#cat > /etc/yum.repos.d/wazuh.repo <<\EOF[wazuh_repo]gpgcheck=1gpgkey=https://packages.wazuh.com/key/GPG-KEY-W转载 2021-01-13 17:42:50 · 520 阅读 · 0 评论 -
wazuh安装,单机部署3.13
Wazuh涉及两个主要组件的安装:Wazuh服务器和Elastic Stack。此外,Wazuh agent需要部署到受监视的主机上:Wazuh server:运行Wazuh管理器和API。它从已部署的代理收集和分析数据。 Elastic Stack:运行Elasticsearch引擎,Filebeat和Kibana(包括Wazuh应用程序)。它读取,解析,索引和存储由Wazuh管理器生成的警报数据。 Wazuh agent:在受监视的主机上运行,收集系统日志和配置数据,并检测入侵和异常。它与Waz原创 2021-01-13 17:39:11 · 982 阅读 · 2 评论 -
解决kibana启动时:3005 - wrong protocol being used to connect to the wazuh api 和 Wazuh API seems to be dow
解决elasticsearch缺少模板问题(https://mp.csdn.net/editor/html/112570396)后,依然不能正常检测到 wazuh api 状态,默认ip和端口。现在:解决kibana启动时:3005 - wrong protocol being used to connect to the wazuh api 解决Wazuh API seems to be down1、 修改 /usr/share/kibana/optimize/...原创 2021-01-13 16:45:11 · 438 阅读 · 0 评论 -
解决kibana启动时:缺少elasticsearch模板,check elasticsearch template
我安装的是 elsticsearch7.9.2 kibana7.9.2 wazuh 3.13.2 filebeat 3.13.2在解决了Kibana server is not ready yet 问题(https://blog.csdn.net/Devour_/article/details/112569075)后发现kibana还是不可以正常访问,提示找不到elasticsearch模板 解决找不到elasticsearch模板的问题,更新 filebeat.yml ...原创 2021-01-13 16:19:49 · 1007 阅读 · 0 评论 -
解决kibana启动的时候,Kibana server is not ready yet
我安装的是 elsticsearch7.9.2 kibana7.9.2 wazuh 3.13.2 filebeat 3.13.2我的解决步骤是:(作为改错记录)1、确定JDK版本:JDK1.8以上,最好JDK11(我的是1.8,目前是可以用的,需要11版本的可以从链接下载)链接: https://pan.baidu.com/s/1EYtj3d8OboJDjypoTLdLog 提取码: y2jn2、修改elsaticsearch 和 kibana 的配置 如下:1)# ...原创 2021-01-13 15:53:45 · 16772 阅读 · 0 评论 -
wazuh-API 防篡改
Wazuh APIWazuh API是一种开源的RESTful API,允许通过web浏览器、cURL之类的命令行工具或任何可以发出web请求的脚本或程序与Wazuh管理器进行交互。Wazuh Kibana应用程序严重依赖于此,而Wazuh的目标是通过Wazuh Kibana应用程序适应对Wazuh基础设施的完整远程管理。使用API可以轻松执行日常操作,如添加代理、重启管理器或代理或查找syscheck详细信息。参见官方文档:https://documentation.wazuh.com/.原创 2020-11-25 14:59:57 · 1023 阅读 · 0 评论 -
wazuh日志审计--定制规则
日志审计--定制规则目录布局规则集文件夹结构如下所示:在接收到agent传来的日志后,manager会根据/var/ossec/ruleset/decoders里面的各种规则对日志进行处理,提取到了指定字段的值之后再根据/var/ossec/ruleset/rules里面的各种规则进行匹配,告警日志输出到/var/ossec/logs/alerts/alerts.json,logstash再将其解析后传输到elasticsearch上面。更新规则集每周运行update_ruleset原创 2020-10-21 16:24:18 · 2919 阅读 · 0 评论 -
wazuh 服务器--功能特点
wazuh 服务器Wazuh管理器是分析从所有注册代理接收到的数据的系统,当事件符合规则时触发警报,例如:检测到入侵、文件修改、配置不符合策略、可能的rootkit,等等。manager还作为本地机器上的代理进行操作,因此它具有代理所具有的所有特性。此外,管理员还可以通过系统日志、电子邮件或集成的外部api转发它所触发的警报。远程服务器:<remote>可以配置Wazuh管理器来发布代理使用的远程服务,如下所示: 远程服务的所有配置都是通过使用< remote >.原创 2020-10-23 16:21:54 · 1552 阅读 · 1 评论 -
WAZUH--安装
安装Wazuh服务器Wazuh服务器可以安装在任何类型的Unix操作系统上。最常见安装在Linux上。如果可以为您的系统提供自动化脚本,则安装过程会更容易,但是,从源码构建和安装也非常简单。通常在Wazuh服务器上安装两个组件:管理器和API。此外,对于分布式体系结构(Wazuh服务器将数据发送到远程Elastic Stack集群),需要安装Filebeat。安装Wazuh服务器有多种选择,具体取决于操作系统以及是否希望从源代码构建。请参阅下表并选择如何安装:类型 描述 RPM包原创 2020-11-02 11:06:03 · 2845 阅读 · 2 评论