Got the log but no alert
89 views
Skip to first unread message
Julien Bard
Feb 20, 2026, 11:58:03 AMFeb 20
to Wazuh | Mailing List
Hi everyone,
I tried everything I could think of and I'm still blocked. I'm running out of ideas and I'm desperate :-(
For investigation purpose I want to get an alert for a specific Windows event. But somehow I can't. The event has arrived to Wazuh since it is present in the archive.json (I checked) but does not generate any alert. It is properly decoded (see below) but the test doesn't trigger anything.
For investigation purpose I want to get an alert for a specific Windows event. But somehow I can't. The event has arrived to Wazuh since it is present in the archive.json (I checked) but does not generate any alert. It is properly decoded (see below) but the test doesn't trigger anything.
Thanks in advance for any help.
The rule :
<group name="windows,windows_security,">
<rule id="100299" level="10">
<field name="win.system.providerName">Microsoft-Windows-Security-Netlogon</field>
<field name="win.system.eventID">^8001$|^8002$|^8003$|^8004$|^8005$|^8006$</field>
<description>Audit NTLM</description>
<options>no_full_log</options>
<group>NTLM</group>
</rule>
</group>
<group name="windows,windows_security,">
<rule id="100299" level="10">
<field name="win.system.providerName">Microsoft-Windows-Security-Netlogon</field>
<field name="win.system.eventID">^8001$|^8002$|^8003$|^8004$|^8005$|^8006$</field>
<description>Audit NTLM</description>
<options>no_full_log</options>
<group>NTLM</group>
</rule>
</group>
The test :
**Phase 1: Completed pre-decoding.
full event: '{"timestamp":"2026-02-20T00:02:47.999+0000","agent":{"id":"001","name":"WEC","ip":"172.17.1.1"},"manager":{"name":"wazuh2"},"id":"1771545767.14081595","full_log":"{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\\r\\nNom de canal sécurisé : SERVER\\r\\nNom d’utilisateur : user\\r\\nNom de domaine : DOMAIN\\r\\nNom de la station de travail : WORKSTATION\\r\\nType de canal sécurisé : 2\\r\\n\\r\\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\\\"\"},\"eventdata\":{\"sChannelName\":\"SERVER\",\"userName\":\"user\",\"domainName\":\"DOMAIN\",\"workstationName\":\"WORKSTATION\",\"sChannelType\":\"2\"},\"keywords\":{}}}","decoder":{"name":"windows_eventchannel"},"data":{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608","channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal sécurisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal sécurisé : 2\r\n\r\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\r\n\r\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\""},"eventdata":{"sChannelName":"SERVER","userName":"user","domainName":"DOMAIN","workstationName":"WORKSTATION","sChannelType":"2"}}},"location":"EventChannel"}'
**Phase 2: Completed decoding.
name: 'json'
agent.id: '001'
agent.ip: '172.17.1.1'
agent.name: 'WEC'
data.win.eventdata.domainName: 'DOMAIN'
data.win.eventdata.sChannelName: 'SERVER'
data.win.eventdata.sChannelType: '2'
data.win.eventdata.userName: 'user'
data.win.eventdata.workstationName: 'WORKSTATION'
data.win.system.channel: 'Microsoft-Windows-NTLM/Operational'
data.win.system.computer: 'DC'
data.win.system.eventID: '8004'
data.win.system.eventRecordID: '75504942'
data.win.system.keywords: '0x8000000000000000'
data.win.system.level: '4'
data.win.system.message: '"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.
Nom de canal sécurisé : SERVER
Nom d’utilisateur : user
Nom de domaine : DOMAIN
Nom de la station de travail : WORKSTATION
Type de canal sécurisé : 2
Auditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.
Pour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.
Pour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM."'
data.win.system.opcode: '0'
data.win.system.processID: '732'
data.win.system.providerGuid: '{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}'
data.win.system.providerName: 'Microsoft-Windows-Security-Netlogon'
data.win.system.severityValue: 'INFORMATION'
data.win.system.systemTime: '2026-02-20T00:02:44.870403700Z'
data.win.system.task: '2'
data.win.system.threadID: '608'
data.win.system.version: '0'
decoder.name: 'windows_eventchannel'
full_log: '{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608","channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal sécurisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal sécurisé : 2\r\n\r\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\r\n\r\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\""},"eventdata":{"sChannelName":"SERVER","userName":"user","domainName":"DOMAIN","workstationName":"WORKSTATION","sChannelType":"2"},"keywords":{}}}'
id: '1771545767.14081595'
location: 'EventChannel'
manager.name: 'wazuh2'
timestamp: '2026-02-20T00:02:47.999+0000'
The event :
{"timestamp":"2026-02-20T00:02:47.999+0000","agent":{"id":"001","name":"WEC","ip":"172.17.1.1"},"manager":{"name":"wazuh2"},"id":"1771545767.14081595","full_log":"{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\\r\\nNom de canal sécurisé : SERVER\\r\\nNom d’utilisateur : user\\r\\nNom de domaine : DOMAIN\\r\\nNom de la station de travail : WORKSTATION\\r\\nType de canal sécurisé : 2\\r\\n\\r\\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\\\"\"},\"eventdata\":{\"sChannelName\":\"SERVER\",\"userName\":\"user\",\"domainName\":\"DOMAIN\",\"workstationName\":\"WORKSTATION\",\"sChannelType\":\"2\"},\"keywords\":{}}}","decoder":{"name":"windows_eventchannel"},"data":{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608","channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal sécurisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal sécurisé : 2\r\n\r\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\r\n\r\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\""},"eventdata":{"sChannelName":"SERVER","userName":"user","domainName":"DOMAIN","workstationName":"WORKSTATION","sChannelType":"2"}}},"location":"EventChannel"}
Nahuel Figueroa
Feb 20, 2026, 2:12:31 PMFeb 20
to Wazuh | Mailing List
Hi Julien, how are you? I tested your same rule with the same event in logtest and it worked for me:
╰─# /var/ossec/bin/wazuh-logtest
Starting wazuh-logtest v4.14.3
Type one log per line
{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7 -7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x80000000000000 00","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608" ,"channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit domain controller block : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal securisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal securisé : 2\r\n\r\nAuditez les NTLM authentication demands in the DOMAIN domain that are blocked if the security strategy is closed: Restreindre NTLM: NTLM authentication in the domain is defined by the options Refuser.\r\n\r\nPour autoriser les NTLM authentication demands in the DOMAIN domain, define the strategy sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demands d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés to use l’authentification NTLM.\""},"eventdata":{"sChannelName":"SERVER","userName":"user","domainName":"DOMAIN","workstationName":"WORKSTATION","sChannelType":"2"},"keywords":{}}}
**Phase 1: Completed pre-decoding.
**Phase 2: Completed decoding.
name: 'json'
win.eventdata.domainName: 'DOMAIN'
win.eventdata.sChannelName: 'SERVER'
win.eventdata.sChannelType: '2'
win.eventdata.userName: 'user'
win.eventdata.workstationName: 'WORKSTATION'
win.system.channel: 'Microsoft-Windows-NTLM/Operational'
win.system.computer: 'DC'
win.system.eventID: '8004'
win.system.eventRecordID: '75504942'
win.system.keywords: '0x8000000000000000'
win.system.level: '4'
win.system.message: '"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.
Secure channel name: SERVER
Nom d’utilisateur: user
Domain name: DOMAIN
Work station name: WORKSTATION
Secure channel type: 2
Auditez les demands d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.
To authorize the NTLM authentication demands in the DOMAIN domain, define the security strategy to reset: Restrict NTLM: NTLM authentication in the deactivated domain.
Pour autoriser les demands d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau: Restreindre NTML: Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM."'
win.system.opcode: '0'
win.system.processID: '732'
win.system.providerGuid: '{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}'
win.system.providerName: 'Microsoft-Windows-Security-Netlogon'
win.system.severityValue: 'INFORMATION'
win.system.systemTime: '2026-02-20T00:02:44.870403700Z'
win.system.task: '2'
win.system.threadID: '608'
win.system.version: '0'
**Phase 3: Completed filtering (rules).
id: '100299'
level: '10'
description: 'Audit NTLM'
groups: '['windows', 'windows_security', 'NTLM']'
firedtimes: '1'
email: 'False'
**Alert to be generated.
To do this, modify rule 6000 in this way:
<rule id="60000" level="0">
<!-- category>ossec</category -->
<!-- decoded_as>windows_eventchannel</decoded_as -->
<decoded_as>json</decoded_as>
<field name="win.system.providerName">\.+</field>
<options>no_full_log</options>
<description>Group of windows rules.</description>
</rule>
and my local_rules was:
<!-- Local rules -->
<!-- Modify it at your will. -->
<!-- Copyright (C) 2015, Wazuh Inc. -->
<!-- Example -->
<group name="local,syslog,sshd,">
<!--
Dec 10 01:02:02 host sshd[1234]: Failed none for root from 1.1.1.1 port 1066 ssh2
-->
<rule id="100001" level="5">
<if_sid>5716</if_sid>
<srcip>1.1.1.1</srcip>
<description>sshd: authentication failed from IP 1.1.1.1.</description>
<group>authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,</group>
</rule>
</group>
<group name="windows,windows_security,">
<rule id="100299" level="10">
<field name="win.system.providerName">Microsoft-Windows-Security-Netlogon</field>
<field name="win.system.eventID">^8001$|^8002$|^8003$|^8004$|^8005$|^8006$</field>
<description>Auditar NTLM</description>
<options>no_full_log</options>
<group>NTLM</group>
</rule>
</group>
╰─# /var/ossec/bin/wazuh-logtest
Starting wazuh-logtest v4.14.3
Type one log per line
{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7 -7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x80000000000000 00","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608" ,"channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit domain controller block : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal securisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal securisé : 2\r\n\r\nAuditez les NTLM authentication demands in the DOMAIN domain that are blocked if the security strategy is closed: Restreindre NTLM: NTLM authentication in the domain is defined by the options Refuser.\r\n\r\nPour autoriser les NTLM authentication demands in the DOMAIN domain, define the strategy sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demands d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés to use l’authentification NTLM.\""},"eventdata":{"sChannelName":"SERVER","userName":"user","domainName":"DOMAIN","workstationName":"WORKSTATION","sChannelType":"2"},"keywords":{}}}
**Phase 1: Completed pre-decoding.
**Phase 2: Completed decoding.
name: 'json'
win.eventdata.sChannelName: 'SERVER'
win.eventdata.sChannelType: '2'
win.eventdata.userName: 'user'
win.eventdata.workstationName: 'WORKSTATION'
win.system.channel: 'Microsoft-Windows-NTLM/Operational'
win.system.computer: 'DC'
win.system.eventID: '8004'
win.system.eventRecordID: '75504942'
win.system.keywords: '0x8000000000000000'
win.system.level: '4'
win.system.message: '"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.
Secure channel name: SERVER
Nom d’utilisateur: user
Domain name: DOMAIN
Work station name: WORKSTATION
Secure channel type: 2
Auditez les demands d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.
To authorize the NTLM authentication demands in the DOMAIN domain, define the security strategy to reset: Restrict NTLM: NTLM authentication in the deactivated domain.
Pour autoriser les demands d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau: Restreindre NTML: Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM."'
win.system.opcode: '0'
win.system.processID: '732'
win.system.providerGuid: '{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}'
win.system.providerName: 'Microsoft-Windows-Security-Netlogon'
win.system.severityValue: 'INFORMATION'
win.system.systemTime: '2026-02-20T00:02:44.870403700Z'
win.system.task: '2'
win.system.threadID: '608'
win.system.version: '0'
**Phase 3: Completed filtering (rules).
id: '100299'
level: '10'
description: 'Audit NTLM'
groups: '['windows', 'windows_security', 'NTLM']'
firedtimes: '1'
email: 'False'
**Alert to be generated.
To do this, modify rule 6000 in this way:
<rule id="60000" level="0">
<!-- category>ossec</category -->
<!-- decoded_as>windows_eventchannel</decoded_as -->
<decoded_as>json</decoded_as>
<field name="win.system.providerName">\.+</field>
<options>no_full_log</options>
<description>Group of windows rules.</description>
</rule>
and my local_rules was:
<!-- Local rules -->
<!-- Modify it at your will. -->
<!-- Copyright (C) 2015, Wazuh Inc. -->
<!-- Example -->
<group name="local,syslog,sshd,">
<!--
Dec 10 01:02:02 host sshd[1234]: Failed none for root from 1.1.1.1 port 1066 ssh2
-->
<rule id="100001" level="5">
<if_sid>5716</if_sid>
<srcip>1.1.1.1</srcip>
<description>sshd: authentication failed from IP 1.1.1.1.</description>
<group>authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,</group>
</rule>
</group>
<group name="windows,windows_security,">
<rule id="100299" level="10">
<field name="win.system.providerName">Microsoft-Windows-Security-Netlogon</field>
<field name="win.system.eventID">^8001$|^8002$|^8003$|^8004$|^8005$|^8006$</field>
<options>no_full_log</options>
<group>NTLM</group>
</rule>
</group>
Nahuel Figueroa
Feb 23, 2026, 9:04:14 AMFeb 23
to Wazuh | Mailing List
Remember that the change to rule 6000 must be reverted after you have run the logtest. Additionally, it would be helpful to share the output with the debug level `-dd` command.
Julien Bard
Feb 23, 2026, 11:03:48 AMFeb 23
to Wazuh | Mailing List
Hi Nahuel,
},
"manager": {
"name": "wazuh2"
},
Rule 60000 changed accordingly and new ruletest run. That doesn't seem to change a thing :
2026-02-23 14:56:57,602 wazuh_logtest[DEBUG] {
"messages": [
"INFO: (7202): Session initialized with token '0a603a21'"
],
"token": "0a603a21",
"output": {
"timestamp": "2026-02-23T14:56:57.600+0000",
"agent": {
"id": "000",
"name": "wazuh2"
"messages": [
"INFO: (7202): Session initialized with token '0a603a21'"
],
"token": "0a603a21",
"output": {
"timestamp": "2026-02-23T14:56:57.600+0000",
"agent": {
"id": "000",
"name": "wazuh2"
},
"manager": {
"name": "wazuh2"
},
"id": "1771858617.4618129634",
"full_log": "{\"timestamp\":\"2026-02-20T00:02:47.999+0000\",\"agent\":{\"id\":\"001\",\"name\":\"WEC\",\"ip\":\"172.17.1.1\"},\"manager\":{\"name\":\"wazuh2\"},\"id\":\"1771545767.14081595\",\"full_log\":\"{\\\"win\\\":{\\\"system\\\":{\\\"providerName\\\":\\\"Microsoft-Windows-Security-Netlogon\\\",\\\"providerGuid\\\":\\\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\\\",\\\"eventID\\\":\\\"8004\\\",\\\"version\\\":\\\"0\\\",\\\"level\\\":\\\"4\\\",\\\"task\\\":\\\"2\\\",\\\"opcode\\\":\\\"0\\\",\\\"keywords\\\":\\\"0x8000000000000000\\\",\\\"systemTime\\\":\\\"2026-02-20T00:02:44.870403700Z\\\",\\\"eventRecordID\\\":\\\"75504942\\\",\\\"processID\\\":\\\"732\\\",\\\"threadID\\\":\\\"608\\\",\\\"channel\\\":\\\"Microsoft-Windows-NTLM/Operational\\\",\\\"computer\\\":\\\"DC\\\",\\\"severityValue\\\":\\\"INFORMATION\\\",\\\"message\\\":\\\"\\\\\\\"Audit de contr\u00f4leur de domaine bloqu\u00e9\u00a0: auditer l\u2019authentification NTLM \u00e0 ce contr\u00f4leur de domaine.\\\\r\\\\nNom de canal s\u00e9curis\u00e9\u00a0: SERVER\\\\r\\\\nNom d\u2019utilisateur\u00a0: user\\\\r\\\\nNom de domaine\u00a0: DOMAIN\\\\r\\\\nNom de la station de travail\u00a0: WORKSTATION\\\\r\\\\nType de canal s\u00e9curis\u00e9\u00a0: 2\\\\r\\\\n\\\\r\\\\nAuditez les demandes d\u2019authentification NTLM dans le domaine DOMAIN qui seront bloqu\u00e9es si la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine est d\u00e9finie sur l\u2019une des options Refuser.\\\\r\\\\n\\\\r\\\\nPour autoriser les demandes d\u2019authentification NTLM dans le domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur D\u00e9sactiv\u00e9.\\\\r\\\\n\\\\r\\\\nPour autoriser les demandes d\u2019authentification NTLM \u00e0 des serveurs particuliers du domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTML\u00a0: Ajouter des exceptions de serveurs dans ce domaine pour d\u00e9terminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autoris\u00e9s \u00e0 utiliser l\u2019authentification NTLM.\\\\\\\"\\\"},\\\"eventdata\\\":{\\\"sChannelName\\\":\\\"SERVER\\\",\\\"userName\\\":\\\"user\\\",\\\"domainName\\\":\\\"DOMAIN\\\",\\\"workstationName\\\":\\\"WORKSTATION\\\",\\\"sChannelType\\\":\\\"2\\\"},\\\"keywords\\\":{}}}\",\"decoder\":{\"name\":\"windows_eventchannel\"},\"data\":{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contr\u00f4leur de domaine bloqu\u00e9\u00a0: auditer l\u2019authentification NTLM \u00e0 ce contr\u00f4leur de domaine.\\r\\nNom de canal s\u00e9curis\u00e9\u00a0: SERVER\\r\\nNom d\u2019utilisateur\u00a0: user\\r\\nNom de domaine\u00a0: DOMAIN\\r\\nNom de la station de travail\u00a0: WORKSTATION\\r\\nType de canal s\u00e9curis\u00e9\u00a0: 2\\r\\n\\r\\nAuditez les demandes d\u2019authentification NTLM dans le domaine DOMAIN qui seront bloqu\u00e9es si la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine est d\u00e9finie sur l\u2019une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d\u2019authentification NTLM dans le domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur D\u00e9sactiv\u00e9.\\r\\n\\r\\nPour autoriser les demandes d\u2019authentification NTLM \u00e0 des serveurs particuliers du domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTML\u00a0: Ajouter des exceptions de serveurs dans ce domaine pour d\u00e9terminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autoris\u00e9s \u00e0 utiliser l\u2019authentification NTLM.\\\"\"},\"",
"decoder": {
"name": "json"
},
"location": "stdin"
},
"alert": false,
"codemsg": 0
}
2026-02-23 14:56:57,602 wazuh_logtest[INFO] **Phase 1: Completed pre-decoding.
2026-02-23 14:56:57,602 wazuh_logtest[INFO] full event: '{"timestamp":"2026-02-20T00:02:47.999+0000","agent":{"id":"001","name":"WEC","ip":"172.17.1.1"},"manager":{"name":"wazuh2"},"id":"1771545767.14081595","full_log":"{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\\r\\nNom de canal sécurisé : SERVER\\r\\nNom d’utilisateur : user\\r\\nNom de domaine : DOMAIN\\r\\nNom de la station de travail : WORKSTATION\\r\\nType de canal sécurisé : 2\\r\\n\\r\\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\\\"\"},\"eventdata\":{\"sChannelName\":\"SERVER\",\"userName\":\"user\",\"domainName\":\"DOMAIN\",\"workstationName\":\"WORKSTATION\",\"sChannelType\":\"2\"},\"keywords\":{}}}","decoder":{"name":"windows_eventchannel"},"data":{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608","channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal sécurisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal sécurisé : 2\r\n\r\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\r\n\r\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\""},"'
2026-02-23 14:56:57,602 wazuh_logtest[INFO]
2026-02-23 14:56:57,602 wazuh_logtest[INFO] **Phase 2: Completed decoding.
2026-02-23 14:56:57,602 wazuh_logtest[INFO] name: 'json'
"full_log": "{\"timestamp\":\"2026-02-20T00:02:47.999+0000\",\"agent\":{\"id\":\"001\",\"name\":\"WEC\",\"ip\":\"172.17.1.1\"},\"manager\":{\"name\":\"wazuh2\"},\"id\":\"1771545767.14081595\",\"full_log\":\"{\\\"win\\\":{\\\"system\\\":{\\\"providerName\\\":\\\"Microsoft-Windows-Security-Netlogon\\\",\\\"providerGuid\\\":\\\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\\\",\\\"eventID\\\":\\\"8004\\\",\\\"version\\\":\\\"0\\\",\\\"level\\\":\\\"4\\\",\\\"task\\\":\\\"2\\\",\\\"opcode\\\":\\\"0\\\",\\\"keywords\\\":\\\"0x8000000000000000\\\",\\\"systemTime\\\":\\\"2026-02-20T00:02:44.870403700Z\\\",\\\"eventRecordID\\\":\\\"75504942\\\",\\\"processID\\\":\\\"732\\\",\\\"threadID\\\":\\\"608\\\",\\\"channel\\\":\\\"Microsoft-Windows-NTLM/Operational\\\",\\\"computer\\\":\\\"DC\\\",\\\"severityValue\\\":\\\"INFORMATION\\\",\\\"message\\\":\\\"\\\\\\\"Audit de contr\u00f4leur de domaine bloqu\u00e9\u00a0: auditer l\u2019authentification NTLM \u00e0 ce contr\u00f4leur de domaine.\\\\r\\\\nNom de canal s\u00e9curis\u00e9\u00a0: SERVER\\\\r\\\\nNom d\u2019utilisateur\u00a0: user\\\\r\\\\nNom de domaine\u00a0: DOMAIN\\\\r\\\\nNom de la station de travail\u00a0: WORKSTATION\\\\r\\\\nType de canal s\u00e9curis\u00e9\u00a0: 2\\\\r\\\\n\\\\r\\\\nAuditez les demandes d\u2019authentification NTLM dans le domaine DOMAIN qui seront bloqu\u00e9es si la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine est d\u00e9finie sur l\u2019une des options Refuser.\\\\r\\\\n\\\\r\\\\nPour autoriser les demandes d\u2019authentification NTLM dans le domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur D\u00e9sactiv\u00e9.\\\\r\\\\n\\\\r\\\\nPour autoriser les demandes d\u2019authentification NTLM \u00e0 des serveurs particuliers du domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTML\u00a0: Ajouter des exceptions de serveurs dans ce domaine pour d\u00e9terminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autoris\u00e9s \u00e0 utiliser l\u2019authentification NTLM.\\\\\\\"\\\"},\\\"eventdata\\\":{\\\"sChannelName\\\":\\\"SERVER\\\",\\\"userName\\\":\\\"user\\\",\\\"domainName\\\":\\\"DOMAIN\\\",\\\"workstationName\\\":\\\"WORKSTATION\\\",\\\"sChannelType\\\":\\\"2\\\"},\\\"keywords\\\":{}}}\",\"decoder\":{\"name\":\"windows_eventchannel\"},\"data\":{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contr\u00f4leur de domaine bloqu\u00e9\u00a0: auditer l\u2019authentification NTLM \u00e0 ce contr\u00f4leur de domaine.\\r\\nNom de canal s\u00e9curis\u00e9\u00a0: SERVER\\r\\nNom d\u2019utilisateur\u00a0: user\\r\\nNom de domaine\u00a0: DOMAIN\\r\\nNom de la station de travail\u00a0: WORKSTATION\\r\\nType de canal s\u00e9curis\u00e9\u00a0: 2\\r\\n\\r\\nAuditez les demandes d\u2019authentification NTLM dans le domaine DOMAIN qui seront bloqu\u00e9es si la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine est d\u00e9finie sur l\u2019une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d\u2019authentification NTLM dans le domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur D\u00e9sactiv\u00e9.\\r\\n\\r\\nPour autoriser les demandes d\u2019authentification NTLM \u00e0 des serveurs particuliers du domaine DOMAIN, d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTLM\u00a0: Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis d\u00e9finissez la strat\u00e9gie de s\u00e9curit\u00e9 S\u00e9curit\u00e9 r\u00e9seau\u00a0: Restreindre NTML\u00a0: Ajouter des exceptions de serveurs dans ce domaine pour d\u00e9terminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autoris\u00e9s \u00e0 utiliser l\u2019authentification NTLM.\\\"\"},\"",
"decoder": {
"name": "json"
},
"location": "stdin"
},
"alert": false,
"codemsg": 0
}
2026-02-23 14:56:57,602 wazuh_logtest[INFO] **Phase 1: Completed pre-decoding.
2026-02-23 14:56:57,602 wazuh_logtest[INFO] full event: '{"timestamp":"2026-02-20T00:02:47.999+0000","agent":{"id":"001","name":"WEC","ip":"172.17.1.1"},"manager":{"name":"wazuh2"},"id":"1771545767.14081595","full_log":"{\"win\":{\"system\":{\"providerName\":\"Microsoft-Windows-Security-Netlogon\",\"providerGuid\":\"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}\",\"eventID\":\"8004\",\"version\":\"0\",\"level\":\"4\",\"task\":\"2\",\"opcode\":\"0\",\"keywords\":\"0x8000000000000000\",\"systemTime\":\"2026-02-20T00:02:44.870403700Z\",\"eventRecordID\":\"75504942\",\"processID\":\"732\",\"threadID\":\"608\",\"channel\":\"Microsoft-Windows-NTLM/Operational\",\"computer\":\"DC\",\"severityValue\":\"INFORMATION\",\"message\":\"\\\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\\r\\nNom de canal sécurisé : SERVER\\r\\nNom d’utilisateur : user\\r\\nNom de domaine : DOMAIN\\r\\nNom de la station de travail : WORKSTATION\\r\\nType de canal sécurisé : 2\\r\\n\\r\\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\\r\\n\\r\\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\\\"\"},\"eventdata\":{\"sChannelName\":\"SERVER\",\"userName\":\"user\",\"domainName\":\"DOMAIN\",\"workstationName\":\"WORKSTATION\",\"sChannelType\":\"2\"},\"keywords\":{}}}","decoder":{"name":"windows_eventchannel"},"data":{"win":{"system":{"providerName":"Microsoft-Windows-Security-Netlogon","providerGuid":"{e5ba83f6-07d0-46b1-8bc7-7e669a1d31dc}","eventID":"8004","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-02-20T00:02:44.870403700Z","eventRecordID":"75504942","processID":"732","threadID":"608","channel":"Microsoft-Windows-NTLM/Operational","computer":"DC","severityValue":"INFORMATION","message":"\"Audit de contrôleur de domaine bloqué : auditer l’authentification NTLM à ce contrôleur de domaine.\r\nNom de canal sécurisé : SERVER\r\nNom d’utilisateur : user\r\nNom de domaine : DOMAIN\r\nNom de la station de travail : WORKSTATION\r\nType de canal sécurisé : 2\r\n\r\nAuditez les demandes d’authentification NTLM dans le domaine DOMAIN qui seront bloquées si la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine est définie sur l’une des options Refuser.\r\n\r\nPour autoriser les demandes d’authentification NTLM dans le domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Désactivé.\r\n\r\nPour autoriser les demandes d’authentification NTLM à des serveurs particuliers du domaine DOMAIN, définissez la stratégie de sécurité Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine sur Refuser pour les serveurs de domaine ou Refuser les comptes de domaine aux serveurs de domaine, puis définissez la stratégie de sécurité Sécurité réseau : Restreindre NTML : Ajouter des exceptions de serveurs dans ce domaine pour déterminer une liste de serveurs du domaine DOMAIN pour lesquels les clients sont autorisés à utiliser l’authentification NTLM.\""},"'
2026-02-23 14:56:57,602 wazuh_logtest[INFO]
2026-02-23 14:56:57,602 wazuh_logtest[INFO] **Phase 2: Completed decoding.
2026-02-23 14:56:57,602 wazuh_logtest[INFO] name: 'json'
Nahuel Figueroa
Feb 23, 2026, 1:41:35 PMFeb 23
to Julien Bard, Wazuh | Mailing List
Please share the logtest output with debug level -dd
--
You received this message because you are subscribed to the Google Groups "Wazuh | Mailing List" group.
To unsubscribe from this group and stop receiving emails from it, send an email to wazuh+un...@googlegroups.com.
To view this discussion visit https://groups.google.com/d/msgid/wazuh/0954d041-eb10-48af-bcbd-8812b9e931cdn%40googlegroups.com.
Julien Bard
Feb 24, 2026, 6:12:03 AMFeb 24
to Wazuh | Mailing List
Hi,
I'm not sure to understand because I did
just that in the previous message. What you see is the output of the logtest with debug, as displayed "
2026-02-23 14:56:57,602 wazuh_logtest[DEBUG]".
Nahuel Figueroa
Feb 24, 2026, 8:54:11 AMFeb 24
to Julien Bard, Wazuh | Mailing List
Sorry, I forgot to mention that the -v option is the key option to troubleshoot a rule or decoder problem.
To view this discussion visit https://groups.google.com/d/msgid/wazuh/fb6d1114-2f3c-44c9-9737-fcf85de0a60an%40googlegroups.com.
Nahuel Figueroa
Feb 24, 2026, 1:21:39 PMFeb 24
to Wazuh | Mailing List
Your full log clearly shows that the Windows content is nested within data.win... (and even the decoder is included): {"namewindows_eventchannel"}
As a result, your rule is looking for these fields:
win.system.providerName
win.system.eventID
but in your actual event, the fields are like this:
data.win.system.providerName
data.win.system.eventID
As a result, your rule is looking for these fields:
win.system.providerName
win.system.eventID
but in your actual event, the fields are like this:
data.win.system.providerName
data.win.system.eventID
Nahuel Figueroa
Feb 25, 2026, 8:33:31 AMFeb 25
to Wazuh | Mailing List
To be more specific, you are introducing a pre-processed alert (JSON produced by Wazuh) into wazuh-logtest, instead of the original event log.
In your output we can see:
-
Phase 2 decoder: json
-
The Windows event appears nested under data.win...
-
The original Windows payload is inside full_log
This means logtest is not decoding a Windows event, but rather a generic JSON message that already passed through the pipeline.
Rules like yours:
<field name="win.system.eventID">...</field>
are designed to match decoded Windows events, not previously generated alerts.
When you input the full JSON alert, the event structure changes and the rule may not match as expected.
You should feed wazuh-logtest with the original raw log, which in your case is the content inside the inner full_log, for example:
{"win":{"system":{...}}}
—not the outer JSON produced by Wazuh.
Julien Bard
Mar 11, 2026, 12:02:19 PM (5 days ago) Mar 11
to Wazuh | Mailing List
Hi Nahuel,
<description>Audit NTLM</description>
<options>no_full_log</options>
<group>NTLM</group>
</rule>
</group>
Well, I'm back at it because I can't let this go, I have to figure this out.
I tried with the original raw log, like you said ( {"win":{"system":{...}}}) and it's exactly the same problem. The ruleset test passed (see below) but no alert is generated at all in the SIEM whereas the events arrive in Wazuh (I checked in /var/ossec/logs/archives/archives.log). And in volume, I got plenty. But still no alert.
I tried with the original raw log, like you said ( {"win":{"system":{...}}}) and it's exactly the same problem. The ruleset test passed (see below) but no alert is generated at all in the SIEM whereas the events arrive in Wazuh (I checked in /var/ossec/logs/archives/archives.log). And in volume, I got plenty. But still no alert.
My guess is something is wrong with the windows_eventchannel decoder because in the test the decoder name is json, not "windows_eventchannel". I think it may be related to the "providerName" somehow because all the other alerts generated come with "Microsoft-Windows-Security-Auditing" and the one I want (eventID 8001) is "Microsoft-Windows-NTLM".
I know one solution would be to index the archives but the number of events I receive would make my server explode. I'd rather get an alert.
Any idea ?
Any idea ?
For recall :
The Rule :
The Rule :
<group name="windows,windows_security,">
<rule id="100299" level="12">
<field name="win.system.eventID">8001</field>
<rule id="100299" level="12">
<field name="win.system.eventID">8001</field>
<description>Audit NTLM</description>
<options>no_full_log</options>
<group>NTLM</group>
</rule>
</group>
The event:
{"win":{"system":{"providerName":"Microsoft-Windows-NTLM","providerGuid":"{ac43300d-5fcc-4800-8e99-1bd3f85f0320}","eventID":"8001","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-03-09T00:00:05.4236130Z","eventRecordID":"533","processID":"888","threadID":"4824","channel":"Microsoft-Windows-NTLM/Operational","computer":"COMPUTER.domain","severityValue":"INFORMATION","message":"\"NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked.\r\nTarget server: cifs/SERVER\r\nSupplied user: (NULL)\r\nSupplied domain: (NULL)\r\nPID of client process: 4\r\nName of client process: -\r\nLUID of client process: 0x330C5\r\nUser identity of client process: USER\r\nDomain name of user identity of client process: DOMAIN\r\nMechanism OID: (NULL)\r\n\r\nAudit the NTLM authentication requests from this computer that would be blocked by the target server cifs/SERVER if the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers is set to Deny all.\r\n\r\nIf you want all servers to accept NTLM authentication requests from this computer, set the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers to Allow all.\r\n\r\nIf you want only the target server cifs/SERVER to accept NTLM authentication requests from this computer, set the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers to Deny all, and then set the security policy Network Security: Restrict NTLM: Add remote server exceptions and list the target server cifs/SERVER as an exception to use NTLM authentication.\""},"eventdata":{"targetName":"cifs/SERVER","callerPID":"4","clientLUID":"0x330c5","clientUserName":"USER","clientDomainName":"DOMAIN"},"keywords":{}}}
The test :**Messages: WARNING: (7003): 'ff6f26a6' token expires INFO: (7202): Session initialized with token 'f395f1fe' **Phase 1: Completed pre-decoding. **Phase 2: Completed decoding. name: 'json' win.eventdata.callerPID: '4' win.eventdata.clientDomainName: 'DOMAIN' win.eventdata.clientLUID: '0x330c5' win.eventdata.clientUserName: 'USER' win.eventdata.targetName: 'cifs/SERVER' win.system.channel: 'Microsoft-Windows-NTLM/Operational' win.system.computer: 'COMPUTER.domain' win.system.eventID: '8001' win.system.eventRecordID: '533' win.system.keywords: '0x8000000000000000' win.system.level: '4' win.system.message: '"NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked. Target server: cifs/SERVER Supplied user: (NULL) Supplied domain: (NULL) PID of client process: 4 Name of client process: - LUID of client process: 0x330C5 User identity of client process: USER Domain name of user identity of client process: DOMAIN Mechanism OID: (NULL) Audit the NTLM authentication requests from this computer that would be blocked by the target server cifs/SERVER if the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers is set to Deny all. If you want all servers to accept NTLM authentication requests from this computer, set the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers to Allow all. If you want only the target server cifs/SERVER to accept NTLM authentication requests from this computer, set the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers to Deny all, and then set the security policy Network Security: Restrict NTLM: Add remote server exceptions and list the target server cifs/SERVER as an exception to use NTLM authentication."' win.system.opcode: '0' win.system.processID: '888' win.system.providerGuid: '{ac43300d-5fcc-4800-8e99-1bd3f85f0320}' win.system.providerName: 'Microsoft-Windows-NTLM' win.system.severityValue: 'INFORMATION' win.system.systemTime: '2026-03-09T00:00:05.4236130Z' win.system.task: '2' win.system.threadID: '4824' win.system.version: '0' **Phase 3: Completed filtering (rules). id: '100299' level: '12' description: 'Audit NTLM' groups: '["windows","windows_security","NTLM"]' firedtimes: '1' mail: 'false' **Alert to be generated.
{"win":{"system":{"providerName":"Microsoft-Windows-NTLM","providerGuid":"{ac43300d-5fcc-4800-8e99-1bd3f85f0320}","eventID":"8001","version":"0","level":"4","task":"2","opcode":"0","keywords":"0x8000000000000000","systemTime":"2026-03-09T00:00:05.4236130Z","eventRecordID":"533","processID":"888","threadID":"4824","channel":"Microsoft-Windows-NTLM/Operational","computer":"COMPUTER.domain","severityValue":"INFORMATION","message":"\"NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked.\r\nTarget server: cifs/SERVER\r\nSupplied user: (NULL)\r\nSupplied domain: (NULL)\r\nPID of client process: 4\r\nName of client process: -\r\nLUID of client process: 0x330C5\r\nUser identity of client process: USER\r\nDomain name of user identity of client process: DOMAIN\r\nMechanism OID: (NULL)\r\n\r\nAudit the NTLM authentication requests from this computer that would be blocked by the target server cifs/SERVER if the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers is set to Deny all.\r\n\r\nIf you want all servers to accept NTLM authentication requests from this computer, set the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers to Allow all.\r\n\r\nIf you want only the target server cifs/SERVER to accept NTLM authentication requests from this computer, set the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers to Deny all, and then set the security policy Network Security: Restrict NTLM: Add remote server exceptions and list the target server cifs/SERVER as an exception to use NTLM authentication.\""},"eventdata":{"targetName":"cifs/SERVER","callerPID":"4","clientLUID":"0x330c5","clientUserName":"USER","clientDomainName":"DOMAIN"},"keywords":{}}}
The test :**Messages: WARNING: (7003): 'ff6f26a6' token expires INFO: (7202): Session initialized with token 'f395f1fe' **Phase 1: Completed pre-decoding. **Phase 2: Completed decoding. name: 'json' win.eventdata.callerPID: '4' win.eventdata.clientDomainName: 'DOMAIN' win.eventdata.clientLUID: '0x330c5' win.eventdata.clientUserName: 'USER' win.eventdata.targetName: 'cifs/SERVER' win.system.channel: 'Microsoft-Windows-NTLM/Operational' win.system.computer: 'COMPUTER.domain' win.system.eventID: '8001' win.system.eventRecordID: '533' win.system.keywords: '0x8000000000000000' win.system.level: '4' win.system.message: '"NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked. Target server: cifs/SERVER Supplied user: (NULL) Supplied domain: (NULL) PID of client process: 4 Name of client process: - LUID of client process: 0x330C5 User identity of client process: USER Domain name of user identity of client process: DOMAIN Mechanism OID: (NULL) Audit the NTLM authentication requests from this computer that would be blocked by the target server cifs/SERVER if the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers is set to Deny all. If you want all servers to accept NTLM authentication requests from this computer, set the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers to Allow all. If you want only the target server cifs/SERVER to accept NTLM authentication requests from this computer, set the security policy Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers to Deny all, and then set the security policy Network Security: Restrict NTLM: Add remote server exceptions and list the target server cifs/SERVER as an exception to use NTLM authentication."' win.system.opcode: '0' win.system.processID: '888' win.system.providerGuid: '{ac43300d-5fcc-4800-8e99-1bd3f85f0320}' win.system.providerName: 'Microsoft-Windows-NTLM' win.system.severityValue: 'INFORMATION' win.system.systemTime: '2026-03-09T00:00:05.4236130Z' win.system.task: '2' win.system.threadID: '4824' win.system.version: '0' **Phase 3: Completed filtering (rules). id: '100299' level: '12' description: 'Audit NTLM' groups: '["windows","windows_security","NTLM"]' firedtimes: '1' mail: 'false' **Alert to be generated.
Reply all
Reply to author
Forward
0 new messages