Got the log but no alert
42 views
Skip to first unread message
Julien Bard
Feb 20, 2026, 11:58:03 AM (4 days ago) Feb 20
to Wazuh | Mailing List
Hi everyone,
I tried everything I could think of and I'm still blocked. I'm running out of ideas and I'm desperate :-(
For investigation purpose I want to get an alert for a specific Windows event. But somehow I can't. The event has arrived to Wazuh since it is present in the archive.json (I checked) but does not generate any alert. It is properly decoded (see below) but the test doesn't trigger anything.
For investigation purpose I want to get an alert for a specific Windows event. But somehow I can't. The event has arrived to Wazuh since it is present in the archive.json (I checked) but does not generate any alert. It is properly decoded (see below) but the test doesn't trigger anything.
Thanks in advance for any help.
The rule :
<group name="windows,windows_security,">
<rule id="100299" level="10">
<field name="win.system.providerName">Microsoft-Windows-Security-Netlogon</field>
<field name="win.system.eventID">^8001$|^8002$|^8003$|^8004$|^8005$|^8006$</field>
<description>Audit NTLM</description>
<options>no_full_log</options>
<group>NTLM</group>
</rule>
</group>
<group name="windows,windows_security,">
<rule id="100299" level="10">
<field name="win.system.providerName">Microsoft-Windows-Security-Netlogon</field>
<field name="win.system.eventID">^8001$|^8002$|^8003$|^8004$|^8005$|^8006$</field>
<description>Audit NTLM</description>
<options>no_full_log</options>
<group>NTLM</group>
</rule>
</group>
The test :
**Phase 1: Completed pre-decoding.
full event: '{"timestamp":"2026-02-20T00:02:47.999+0000","agent":{"id":"001","name":"WEC","ip":"172.17.1.1"},"manager":{"name":"wazuh2"},"id":"1771545767.14081595","full_log":"{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\\r\\nNom de canal sécurisé : SERVER\\r\\nNom d’utilisateur : user\\r\\nNom de domaine : DOMAIN\\r\\nNom de la station de travail : WORKSTATION\\r\\nType de canal sécurisé : 2\\r\\n\\r\\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\\\"\"},\"eventdata\":{\"sChannelName\":\"SERVER\",\"userName\":\"user\",\"domainName\":\"DOMAIN\",\"workstationName\":\"WORKSTATION\",\"sChannelType\":\"2\"},\"keywords\":{}}}","decoder":{"name":"windows_eventchannel"},"data":{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608","channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal sécurisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal sécurisé : 2\r\n\r\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\r\n\r\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\""},"eventdata":{"sChannelName":"SERVER","userName":"user","domainName":"DOMAIN","workstationName":"WORKSTATION","sChannelType":"2"}}},"location":"EventChannel"}'
**Phase 2: Completed decoding.
name: 'json'
agent.id: '001'
agent.ip: '172.17.1.1'
agent.name: 'WEC'
data.win.eventdata.domainName: 'DOMAIN'
data.win.eventdata.sChannelName: 'SERVER'
data.win.eventdata.sChannelType: '2'
data.win.eventdata.userName: 'user'
data.win.eventdata.workstationName: 'WORKSTATION'
data.win.system.channel: 'Microsoft-Windows-NTLM/Operational'
data.win.system.computer: 'DC'
data.win.system.eventID: '8004'
data.win.system.eventRecordID: '75504942'
data.win.system.keywords: '0x8000000000000000'
data.win.system.level: '4'
data.win.system.message: '"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.
Nom de canal sécurisé : SERVER
Nom d’utilisateur : user
Nom de domaine : DOMAIN
Nom de la station de travail : WORKSTATION
Type de canal sécurisé : 2
Auditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.
Pour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.
Pour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM."'
data.win.system.opcode: '0'
data.win.system.processID: '732'
data.win.system.providerGuid: '{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}'
data.win.system.providerName: 'Microsoft-Windows-Security-Netlogon'
data.win.system.severityValue: 'INFORMATION'
data.win.system.systemTime: '2026-02-20T00:02:44.870403700Z'
data.win.system.task: '2'
data.win.system.threadID: '608'
data.win.system.version: '0'
decoder.name: 'windows_eventchannel'
full_log: '{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608","channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal sécurisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal sécurisé : 2\r\n\r\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\r\n\r\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\""},"eventdata":{"sChannelName":"SERVER","userName":"user","domainName":"DOMAIN","workstationName":"WORKSTATION","sChannelType":"2"},"keywords":{}}}'
id: '1771545767.14081595'
location: 'EventChannel'
manager.name: 'wazuh2'
timestamp: '2026-02-20T00:02:47.999+0000'
The event :
{"timestamp":"2026-02-20T00:02:47.999+0000","agent":{"id":"001","name":"WEC","ip":"172.17.1.1"},"manager":{"name":"wazuh2"},"id":"1771545767.14081595","full_log":"{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\\r\\nNom de canal sécurisé : SERVER\\r\\nNom d’utilisateur : user\\r\\nNom de domaine : DOMAIN\\r\\nNom de la station de travail : WORKSTATION\\r\\nType de canal sécurisé : 2\\r\\n\\r\\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\\\"\"},\"eventdata\":{\"sChannelName\":\"SERVER\",\"userName\":\"user\",\"domainName\":\"DOMAIN\",\"workstationName\":\"WORKSTATION\",\"sChannelType\":\"2\"},\"keywords\":{}}}","decoder":{"name":"windows_eventchannel"},"data":{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608","channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal sécurisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal sécurisé : 2\r\n\r\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\r\n\r\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\""},"eventdata":{"sChannelName":"SERVER","userName":"user","domainName":"DOMAIN","workstationName":"WORKSTATION","sChannelType":"2"}}},"location":"EventChannel"}
Nahuel Figueroa
Feb 20, 2026, 2:12:31 PM (4 days ago) Feb 20
to Wazuh | Mailing List
Hi Julien, how are you? I tested your same rule with the same event in logtest and it worked for me:
╰─# /var/ossec/bin/wazuh-logtest
Starting wazuh-logtest v4.14.3
Type one log per line
{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7 -7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x80000000000000 00","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608" ,"channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit domain controller block : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal securisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal securisé : 2\r\n\r\nAuditez les NTLM authentication demands in the DOMAIN domain that are blocked if the security strategy is closed: Restreindre NTLM: NTLM authentication in the domain is defined by the options Refuser.\r\n\r\nPour autoriser les NTLM authentication demands in the DOMAIN domain, define the strategy sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demands d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés to use l’authentification NTLM.\""},"eventdata":{"sChannelName":"SERVER","userName":"user","domainName":"DOMAIN","workstationName":"WORKSTATION","sChannelType":"2"},"keywords":{}}}
**Phase 1: Completed pre-decoding.
**Phase 2: Completed decoding.
name: 'json'
win.eventdata.domainName: 'DOMAIN'
win.eventdata.sChannelName: 'SERVER'
win.eventdata.sChannelType: '2'
win.eventdata.userName: 'user'
win.eventdata.workstationName: 'WORKSTATION'
win.system.channel: 'Microsoft-Windows-NTLM/Operational'
win.system.computer: 'DC'
win.system.eventID: '8004'
win.system.eventRecordID: '75504942'
win.system.keywords: '0x8000000000000000'
win.system.level: '4'
win.system.message: '"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.
Secure channel name: SERVER
Nom d’utilisateur: user
Domain name: DOMAIN
Work station name: WORKSTATION
Secure channel type: 2
Auditez les demands d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.
To authorize the NTLM authentication demands in the DOMAIN domain, define the security strategy to reset: Restrict NTLM: NTLM authentication in the deactivated domain.
Pour autoriser les demands d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau: Restreindre NTML: Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM."'
win.system.opcode: '0'
win.system.processID: '732'
win.system.providerGuid: '{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}'
win.system.providerName: 'Microsoft-Windows-Security-Netlogon'
win.system.severityValue: 'INFORMATION'
win.system.systemTime: '2026-02-20T00:02:44.870403700Z'
win.system.task: '2'
win.system.threadID: '608'
win.system.version: '0'
**Phase 3: Completed filtering (rules).
id: '100299'
level: '10'
description: 'Audit NTLM'
groups: '['windows', 'windows_security', 'NTLM']'
firedtimes: '1'
email: 'False'
**Alert to be generated.
To do this, modify rule 6000 in this way:
<rule id="60000" level="0">
<!-- category>ossec</category -->
<!-- decoded_as>windows_eventchannel</decoded_as -->
<decoded_as>json</decoded_as>
<field name="win.system.providerName">\.+</field>
<options>no_full_log</options>
<description>Group of windows rules.</description>
</rule>
and my local_rules was:
<!-- Local rules -->
<!-- Modify it at your will. -->
<!-- Copyright (C) 2015, Wazuh Inc. -->
<!-- Example -->
<group name="local,syslog,sshd,">
<!--
Dec 10 01:02:02 host sshd[1234]: Failed none for root from 1.1.1.1 port 1066 ssh2
-->
<rule id="100001" level="5">
<if_sid>5716</if_sid>
<srcip>1.1.1.1</srcip>
<description>sshd: authentication failed from IP 1.1.1.1.</description>
<group>authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,</group>
</rule>
</group>
<group name="windows,windows_security,">
<rule id="100299" level="10">
<field name="win.system.providerName">Microsoft-Windows-Security-Netlogon</field>
<field name="win.system.eventID">^8001$|^8002$|^8003$|^8004$|^8005$|^8006$</field>
<description>Auditar NTLM</description>
<options>no_full_log</options>
<group>NTLM</group>
</rule>
</group>
╰─# /var/ossec/bin/wazuh-logtest
Starting wazuh-logtest v4.14.3
Type one log per line
{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7 -7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x80000000000000 00","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608" ,"channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit domain controller block : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal securisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal securisé : 2\r\n\r\nAuditez les NTLM authentication demands in the DOMAIN domain that are blocked if the security strategy is closed: Restreindre NTLM: NTLM authentication in the domain is defined by the options Refuser.\r\n\r\nPour autoriser les NTLM authentication demands in the DOMAIN domain, define the strategy sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demands d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés to use l’authentification NTLM.\""},"eventdata":{"sChannelName":"SERVER","userName":"user","domainName":"DOMAIN","workstationName":"WORKSTATION","sChannelType":"2"},"keywords":{}}}
**Phase 1: Completed pre-decoding.
**Phase 2: Completed decoding.
name: 'json'
win.eventdata.sChannelName: 'SERVER'
win.eventdata.sChannelType: '2'
win.eventdata.userName: 'user'
win.eventdata.workstationName: 'WORKSTATION'
win.system.channel: 'Microsoft-Windows-NTLM/Operational'
win.system.computer: 'DC'
win.system.eventID: '8004'
win.system.eventRecordID: '75504942'
win.system.keywords: '0x8000000000000000'
win.system.level: '4'
win.system.message: '"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.
Secure channel name: SERVER
Nom d’utilisateur: user
Domain name: DOMAIN
Work station name: WORKSTATION
Secure channel type: 2
Auditez les demands d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.
To authorize the NTLM authentication demands in the DOMAIN domain, define the security strategy to reset: Restrict NTLM: NTLM authentication in the deactivated domain.
Pour autoriser les demands d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau: Restreindre NTML: Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM."'
win.system.opcode: '0'
win.system.processID: '732'
win.system.providerGuid: '{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}'
win.system.providerName: 'Microsoft-Windows-Security-Netlogon'
win.system.severityValue: 'INFORMATION'
win.system.systemTime: '2026-02-20T00:02:44.870403700Z'
win.system.task: '2'
win.system.threadID: '608'
win.system.version: '0'
**Phase 3: Completed filtering (rules).
id: '100299'
level: '10'
description: 'Audit NTLM'
groups: '['windows', 'windows_security', 'NTLM']'
firedtimes: '1'
email: 'False'
**Alert to be generated.
To do this, modify rule 6000 in this way:
<rule id="60000" level="0">
<!-- category>ossec</category -->
<!-- decoded_as>windows_eventchannel</decoded_as -->
<decoded_as>json</decoded_as>
<field name="win.system.providerName">\.+</field>
<options>no_full_log</options>
<description>Group of windows rules.</description>
</rule>
and my local_rules was:
<!-- Local rules -->
<!-- Modify it at your will. -->
<!-- Copyright (C) 2015, Wazuh Inc. -->
<!-- Example -->
<group name="local,syslog,sshd,">
<!--
Dec 10 01:02:02 host sshd[1234]: Failed none for root from 1.1.1.1 port 1066 ssh2
-->
<rule id="100001" level="5">
<if_sid>5716</if_sid>
<srcip>1.1.1.1</srcip>
<description>sshd: authentication failed from IP 1.1.1.1.</description>
<group>authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,</group>
</rule>
</group>
<group name="windows,windows_security,">
<rule id="100299" level="10">
<field name="win.system.providerName">Microsoft-Windows-Security-Netlogon</field>
<field name="win.system.eventID">^8001$|^8002$|^8003$|^8004$|^8005$|^8006$</field>
<options>no_full_log</options>
<group>NTLM</group>
</rule>
</group>
Nahuel Figueroa
Feb 23, 2026, 9:04:14 AM (yesterday) Feb 23
to Wazuh | Mailing List
Remember that the change to rule 6000 must be reverted after you have run the logtest. Additionally, it would be helpful to share the output with the debug level `-dd` command.
Julien Bard
Feb 23, 2026, 11:03:48 AM (yesterday) Feb 23
to Wazuh | Mailing List
Hi Nahuel,
},
"manager": {
"name": "wazuh2"
},
Rule 60000 changed accordingly and new ruletest run. That doesn't seem to change a thing :
2026-02-23 14:56:57,602 wazuh_logtest[DEBUG] {
"messages": [
"INFO: (7202): Session initialized with token '0a603a21'"
],
"token": "0a603a21",
"output": {
"timestamp": "2026-02-23T14:56:57.600+0000",
"agent": {
"id": "000",
"name": "wazuh2"
"messages": [
"INFO: (7202): Session initialized with token '0a603a21'"
],
"token": "0a603a21",
"output": {
"timestamp": "2026-02-23T14:56:57.600+0000",
"agent": {
"id": "000",
"name": "wazuh2"
},
"manager": {
"name": "wazuh2"
},
"id": "1771858617.4618129634",
"full_log": "{\"timestamp\":\"2026-02-20T00:02:47.999+0000\",\"agent\":{\"id\":\"001\",\"name\":\"WEC\",\"ip\":\"172.17.1.1\"},\"manager\":{\"name\":\"wazuh2\"},\"id\":\"1771545767.14081595\",\"full_log\":\"{\\\"win\\\":{\\\"system\\\":{\\\"providerName\\\":\\\"Microsoft-Windows-Security-Netlogon\\\",\\\"providerGuid\\\":\\\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\\\",\\\"eventID\\\":\\\"8004\\\",\\\"version\\\":\\\"0\\\",\\\"level\\\":\\\"4\\\",\\\"task\\\":\\\"2\\\",\\\"opcode\\\":\\\"0\\\",\\\"keywords\\\":\\\"0x8000000000000000\\\",\\\"systemTime\\\":\\\"2026-02-20T00:02:44.870403700Z\\\",\\\"eventRecordID\\\":\\\"75504942\\\",\\\"processID\\\":\\\"732\\\",\\\"threadID\\\":\\\"608\\\",\\\"channel\\\":\\\"Microsoft-Windows-NTLM/Operational\\\",\\\"computer\\\":\\\"DC\\\",\\\"severityValue\\\":\\\"INFORMATION\\\",\\\"message\\\":\\\"\\\\\\\"Audit de contr\u00f4leur de domaine bloqu\u00e9\u00a0: auditer l\u2019authentification NTLM \u00e0 ce contr\u00f4leur de domaine.\\\\r\\\\nNom de canal s\u00e9curis\u00e9\u00a0: SERVER\\\\r\\\\nNom d\u2019utilisateur\u00a0: user\\\\r\\\\nNom de domaine\u00a0: DOMAIN\\\\r\\\\nNom de la station de travail\u00a0: WORKSTATION\\\\r\\\\nType de canal s\u00e9curis\u00e9\u00a0: 2\\\\r\\\\n\\\\r\\\\nAuditez les demandes d\u2019authentification NTLM dans le domaine DOMAIN qui seront bloqu\u00e9es si la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine est d\u00e9finie sur l\u2019une des options Refuser.\\\\r\\\\n\\\\r\\\\nPour autoriser les demandes d\u2019authentification NTLM dans le domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur D\u00e9sactiv\u00e9.\\\\r\\\\n\\\\r\\\\nPour autoriser les demandes d\u2019authentification NTLM \u00e0 des serveurs particuliers du domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTML\u00a0: Ajouter des exceptions de serveurs dans ce domaine pour d\u00e9terminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autoris\u00e9s \u00e0 utiliser l\u2019authentification NTLM.\\\\\\\"\\\"},\\\"eventdata\\\":{\\\"sChannelName\\\":\\\"SERVER\\\",\\\"userName\\\":\\\"user\\\",\\\"domainName\\\":\\\"DOMAIN\\\",\\\"workstationName\\\":\\\"WORKSTATION\\\",\\\"sChannelType\\\":\\\"2\\\"},\\\"keywords\\\":{}}}\",\"decoder\":{\"name\":\"windows_eventchannel\"},\"data\":{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contr\u00f4leur de domaine bloqu\u00e9\u00a0: auditer l\u2019authentification NTLM \u00e0 ce contr\u00f4leur de domaine.\\r\\nNom de canal s\u00e9curis\u00e9\u00a0: SERVER\\r\\nNom d\u2019utilisateur\u00a0: user\\r\\nNom de domaine\u00a0: DOMAIN\\r\\nNom de la station de travail\u00a0: WORKSTATION\\r\\nType de canal s\u00e9curis\u00e9\u00a0: 2\\r\\n\\r\\nAuditez les demandes d\u2019authentification NTLM dans le domaine DOMAIN qui seront bloqu\u00e9es si la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine est d\u00e9finie sur l\u2019une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d\u2019authentification NTLM dans le domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur D\u00e9sactiv\u00e9.\\r\\n\\r\\nPour autoriser les demandes d\u2019authentification NTLM \u00e0 des serveurs particuliers du domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTML\u00a0: Ajouter des exceptions de serveurs dans ce domaine pour d\u00e9terminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autoris\u00e9s \u00e0 utiliser l\u2019authentification NTLM.\\\"\"},\"",
"decoder": {
"name": "json"
},
"location": "stdin"
},
"alert": false,
"codemsg": 0
}
2026-02-23 14:56:57,602 wazuh_logtest[INFO] **Phase 1: Completed pre-decoding.
2026-02-23 14:56:57,602 wazuh_logtest[INFO] full event: '{"timestamp":"2026-02-20T00:02:47.999+0000","agent":{"id":"001","name":"WEC","ip":"172.17.1.1"},"manager":{"name":"wazuh2"},"id":"1771545767.14081595","full_log":"{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\\r\\nNom de canal sécurisé : SERVER\\r\\nNom d’utilisateur : user\\r\\nNom de domaine : DOMAIN\\r\\nNom de la station de travail : WORKSTATION\\r\\nType de canal sécurisé : 2\\r\\n\\r\\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\\\"\"},\"eventdata\":{\"sChannelName\":\"SERVER\",\"userName\":\"user\",\"domainName\":\"DOMAIN\",\"workstationName\":\"WORKSTATION\",\"sChannelType\":\"2\"},\"keywords\":{}}}","decoder":{"name":"windows_eventchannel"},"data":{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608","channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal sécurisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal sécurisé : 2\r\n\r\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\r\n\r\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\""},"'
2026-02-23 14:56:57,602 wazuh_logtest[INFO]
2026-02-23 14:56:57,602 wazuh_logtest[INFO] **Phase 2: Completed decoding.
2026-02-23 14:56:57,602 wazuh_logtest[INFO] name: 'json'
"full_log": "{\"timestamp\":\"2026-02-20T00:02:47.999+0000\",\"agent\":{\"id\":\"001\",\"name\":\"WEC\",\"ip\":\"172.17.1.1\"},\"manager\":{\"name\":\"wazuh2\"},\"id\":\"1771545767.14081595\",\"full_log\":\"{\\\"win\\\":{\\\"system\\\":{\\\"providerName\\\":\\\"Microsoft-Windows-Security-Netlogon\\\",\\\"providerGuid\\\":\\\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\\\",\\\"eventID\\\":\\\"8004\\\",\\\"version\\\":\\\"0\\\",\\\"level\\\":\\\"4\\\",\\\"task\\\":\\\"2\\\",\\\"opcode\\\":\\\"0\\\",\\\"keywords\\\":\\\"0x8000000000000000\\\",\\\"systemTime\\\":\\\"2026-02-20T00:02:44.870403700Z\\\",\\\"eventRecordID\\\":\\\"75504942\\\",\\\"processID\\\":\\\"732\\\",\\\"threadID\\\":\\\"608\\\",\\\"channel\\\":\\\"Microsoft-Windows-NTLM/Operational\\\",\\\"computer\\\":\\\"DC\\\",\\\"severityValue\\\":\\\"INFORMATION\\\",\\\"message\\\":\\\"\\\\\\\"Audit de contr\u00f4leur de domaine bloqu\u00e9\u00a0: auditer l\u2019authentification NTLM \u00e0 ce contr\u00f4leur de domaine.\\\\r\\\\nNom de canal s\u00e9curis\u00e9\u00a0: SERVER\\\\r\\\\nNom d\u2019utilisateur\u00a0: user\\\\r\\\\nNom de domaine\u00a0: DOMAIN\\\\r\\\\nNom de la station de travail\u00a0: WORKSTATION\\\\r\\\\nType de canal s\u00e9curis\u00e9\u00a0: 2\\\\r\\\\n\\\\r\\\\nAuditez les demandes d\u2019authentification NTLM dans le domaine DOMAIN qui seront bloqu\u00e9es si la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine est d\u00e9finie sur l\u2019une des options Refuser.\\\\r\\\\n\\\\r\\\\nPour autoriser les demandes d\u2019authentification NTLM dans le domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur D\u00e9sactiv\u00e9.\\\\r\\\\n\\\\r\\\\nPour autoriser les demandes d\u2019authentification NTLM \u00e0 des serveurs particuliers du domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTML\u00a0: Ajouter des exceptions de serveurs dans ce domaine pour d\u00e9terminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autoris\u00e9s \u00e0 utiliser l\u2019authentification NTLM.\\\\\\\"\\\"},\\\"eventdata\\\":{\\\"sChannelName\\\":\\\"SERVER\\\",\\\"userName\\\":\\\"user\\\",\\\"domainName\\\":\\\"DOMAIN\\\",\\\"workstationName\\\":\\\"WORKSTATION\\\",\\\"sChannelType\\\":\\\"2\\\"},\\\"keywords\\\":{}}}\",\"decoder\":{\"name\":\"windows_eventchannel\"},\"data\":{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contr\u00f4leur de domaine bloqu\u00e9\u00a0: auditer l\u2019authentification NTLM \u00e0 ce contr\u00f4leur de domaine.\\r\\nNom de canal s\u00e9curis\u00e9\u00a0: SERVER\\r\\nNom d\u2019utilisateur\u00a0: user\\r\\nNom de domaine\u00a0: DOMAIN\\r\\nNom de la station de travail\u00a0: WORKSTATION\\r\\nType de canal s\u00e9curis\u00e9\u00a0: 2\\r\\n\\r\\nAuditez les demandes d\u2019authentification NTLM dans le domaine DOMAIN qui seront bloqu\u00e9es si la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine est d\u00e9finie sur l\u2019une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d\u2019authentification NTLM dans le domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur D\u00e9sactiv\u00e9.\\r\\n\\r\\nPour autoriser les demandes d\u2019authentification NTLM \u00e0 des serveurs particuliers du domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTML\u00a0: Ajouter des exceptions de serveurs dans ce domaine pour d\u00e9terminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autoris\u00e9s \u00e0 utiliser l\u2019authentification NTLM.\\\"\"},\"",
"decoder": {
"name": "json"
},
"location": "stdin"
},
"alert": false,
"codemsg": 0
}
2026-02-23 14:56:57,602 wazuh_logtest[INFO] **Phase 1: Completed pre-decoding.
2026-02-23 14:56:57,602 wazuh_logtest[INFO] full event: '{"timestamp":"2026-02-20T00:02:47.999+0000","agent":{"id":"001","name":"WEC","ip":"172.17.1.1"},"manager":{"name":"wazuh2"},"id":"1771545767.14081595","full_log":"{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\\r\\nNom de canal sécurisé : SERVER\\r\\nNom d’utilisateur : user\\r\\nNom de domaine : DOMAIN\\r\\nNom de la station de travail : WORKSTATION\\r\\nType de canal sécurisé : 2\\r\\n\\r\\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\\\"\"},\"eventdata\":{\"sChannelName\":\"SERVER\",\"userName\":\"user\",\"domainName\":\"DOMAIN\",\"workstationName\":\"WORKSTATION\",\"sChannelType\":\"2\"},\"keywords\":{}}}","decoder":{"name":"windows_eventchannel"},"data":{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608","channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal sécurisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal sécurisé : 2\r\n\r\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\r\n\r\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\""},"'
2026-02-23 14:56:57,602 wazuh_logtest[INFO]
2026-02-23 14:56:57,602 wazuh_logtest[INFO] **Phase 2: Completed decoding.
2026-02-23 14:56:57,602 wazuh_logtest[INFO] name: 'json'
Nahuel Figueroa
Feb 23, 2026, 1:41:35 PM (yesterday) Feb 23
to Julien Bard, Wazuh | Mailing List
Please share the logtest output with debug level -dd
--
You received this message because you are subscribed to the Google Groups "Wazuh | Mailing List" group.
To unsubscribe from this group and stop receiving emails from it, send an email to wazuh+un...@googlegroups.com.
To view this discussion visit https://groups.google.com/d/msgid/wazuh/0954d041-eb10-48af-bcbd-8812b9e931cdn%40googlegroups.com.
Julien Bard
6:12 AM (9 hours ago) 6:12 AM
to Wazuh | Mailing List
Hi,
I'm not sure to understand because I did
just that in the previous message. What you see is the output of the logtest with debug, as displayed "
2026-02-23 14:56:57,602 wazuh_logtest[DEBUG]".
Nahuel Figueroa
8:54 AM (7 hours ago) 8:54 AM
to Julien Bard, Wazuh | Mailing List
Sorry, I forgot to mention that the -v option is the key option to troubleshoot a rule or decoder problem.
To view this discussion visit https://groups.google.com/d/msgid/wazuh/fb6d1114-2f3c-44c9-9737-fcf85de0a60an%40googlegroups.com.
Nahuel Figueroa
1:21 PM (2 hours ago) 1:21 PM
to Wazuh | Mailing List
Your full log clearly shows that the Windows content is nested within data.win... (and even the decoder is included): {"namewindows_eventchannel"}
As a result, your rule is looking for these fields:
win.system.providerName
win.system.eventID
but in your actual event, the fields are like this:
data.win.system.providerName
data.win.system.eventID
As a result, your rule is looking for these fields:
win.system.providerName
win.system.eventID
but in your actual event, the fields are like this:
data.win.system.providerName
data.win.system.eventID
Reply all
Reply to author
Forward
0 new messages