NO SE VISUALIZAN LOGS DE EVENTOS DE UN EQUIPO ANTI-DDOS
stefanny chavez anto
1 $template remote-incoming-logs, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
4. Reiniciar servicios
# systemctl restart rsyslog
# systemctl status rsyslog
# ls -la
5. Cambiar los permisos.chown syslog:adm 10.10.10.12/
6. Se observa la recepcion de log en el rsyslog
Tengo la recepcion de los logs pero no se visualizan en el wazuh.
Gracias.
Nicolas Curioni
Hola Stefanny,
Gracias por compartir tus dudas con la comunidad.
Si bien recepcionas los logs en el rsyslog que acabas de configurar, debes asegurarte de que los mismos estén llegando al Wazuh manager.
Para esto, puedes activar el archivo archives.json, clickeando en Wazuh > Management > Configuration:
Una vez aquí, debes clickear en el botón ‘Edit configuration’, y cambiar el valor de la opción logall_json de ‘no’ a ‘yes’ (recuerda deshabilitarla una vez efectuadas las pruebas para evitar que el disco se llene):
<ossec_config>
<global>
<alerts_log>yes</alerts_log>
<logall>no</logall>
<logall_json>yes</logall_json>
</global>
Una vez activada esta opción, podrás filtrar el archivo para ver si los logs están alcanzando el manager. Puedes hacerlo ejecutando el siguiente comando:# grep -i <searching_parameter> /var/ossec/logs/archives/archives.json
Donde <searching_parameter> lo debes reemplazar por la IP o el nombre del dispositivo en cuestión.
Aquí pueden ocurrir los siguientes casos:
El evento no se recibe, por lo que se debe revisar la configuración del log collection. Puedes revisar esta documentación de referencia: https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/localfile.html
El evento activa una regla con un nivel inferior a 3, por lo que no se generará ninguna alerta y no se reflejará en el panel.
Se recibe el evento, pero no coincide con ningún decoder o regla, por lo que no se activa ninguna alerta. Wazuh incluye un conjunto de reglas y decoders para analizar los productos y servicios más comunes. En caso de que no veas los eventos deseados, es posible que debas escribir algunas reglas y decoders personalizados. Puedes consultar la siguiente documentación para obtener información adicional relacionada con este tema: https://documentation.wazuh.com/current/user-manual/ruleset/custom.html
Se recibe el evento y se genera la alerta, pero los registros no se incorporan al indexer. Esto puede deberse a un problema con Filebeat. En este caso, debemos revisar los logs. De forma predeterminada, Filebeat no loggea a un archivo puntual (ya que recibe numerosos eventos). Por lo tanto, se podría verificar el journalctl, con el siguiente comando:
# journalctl -xe -u filebeat --no-pager | grep -E "ERROR|ADVERTENCIA"
Espero que esta información te sea de utilidad.
Saludos!
--
You received this message because you are subscribed to the Google Groups "Wazuh | Mailing List" group.
To unsubscribe from this group and stop receiving emails from it, send an email to wazuh+un...@googlegroups.com.
To view this discussion on the web visit https://groups.google.com/d/msgid/wazuh/a9198d55-9166-4274-b361-5fe93c4227e5n%40googlegroups.com.
Nicolas Curioni
Hola Stefanny,
Solo una pequeña corrección.
El último comando para checkear debería ser el siguiente:
journalctl -xe -u filebeat --no-pager | grep -E "ERROR|WARN"
Saludos!
stefanny chavez anto
Buen día,
Nicolas Curioni
Hola Stefanny,
Gracias por tu respuesta.
Efectivamente como mencionas, los eventos están llegando correctamente al Manager. La razón por la que no los estas viendo reflejados en Wazuh-Dashboard, es que estos eventos no están siendo tomados por ningún decoder, y, por lo tanto, ningún campo es extraído, por lo que ninguna regla matchea con el evento.
Esto podemos verlo en la siguiente imagen:
%2016.10.40.png?part=0.3&view=1){kind=small}
Aquí, vemos como el registro indica que ningún decoder interpretó este log.
En este caso, deberías escribir los decoders y reglas correspondientes para que los eventos puedan ser correctamente mostrados en el Dashboard. A continuación, te comparto los siguientes recursos y documentación, que pueden serte de utilidad para lograr esto:
Espero que te sea de utilidad.
Saludos!
To view this discussion on the web visit https://groups.google.com/d/msgid/wazuh/b3f7a99a-33c2-4a55-86be-885829548a1bn%40googlegroups.com.
stefanny chavez anto
IPAddress: [10.10.10.12]
Loglevel: [INFO,WARNING]
ID: [113,240, xxxx,xxxx,xxxx]
Categoria: [Anomalies, Access, N/A, Behavioral-DoS, Anti Scan, DNS-Protection, Https, GeoFeed, ErtFeed, DoS, SynFlood, Traffic Filters]
Attack-Protection Name ["Blocklist", "Allowlist", "Network flood IPv4 UDP", " Invalid TCP Flags ", "xxxxxxxx", "xxxxxx",..... ]
Message: [TCP handshake violation. First packet not SYN" TCP 0.0.0.0 0 0.0.0.0 0 5 Regular "0_NETWORK_WIDE" ongoing 69137 635718 N/A 0 N/A low drop FFFFFFFF-FFFF-FFFF-2666-000B5DA611A1]
stefanny chavez anto
IPAddress: [10.10.10.12]
Loglevel: [INFO,WARNING]
ID: [113,240, xxxx,xxxx,xxxx]
Categoria: [Anomalies, Access, N/A, Behavioral-DoS, Anti Scan, DNS-Protection, Https, GeoFeed, ErtFeed, DoS, SynFlood, Traffic Filters]
Attack-Protection Name ["Blocklist", "Allowlist", "Network flood IPv4 UDP", " Invalid TCP Flags ", "xxxxxxxx", "xxxxxx",..... ]
Message: [TCP handshake violation. First packet not SYN" TCP 0.0.0.0 0 0.0.0.0 0 5 Regular "0_NETWORK_WIDE" ongoing 69137 635718 N/A 0 N/A low drop FFFFFFFF-FFFF-FFFF-2666-000B5DA611A1]