Generate full log report

125 views

Skip to first unread message

Sebastian Cruz

unread,

Nov 15, 2022, 8:19:57 AM11/15/22

to Wazuh mailing list

Hello

He carefully requested an explanation of how I can get the complete log report since it was done through the alerts.log file but when exporting it he gives me the information of the day and not general, I would like to know how it is done no matter how long it lasts

Stay tuned

Joan Sebastian Cruz Aparicio

Analista TI

sc...@cobrando.com.co

+57 (1) 7432222 Ext 1169

Avenida Carrera 50 # 93A - 29

Bogotá, Colombia

www.cobrando.com.co


Recuperación de Cartera	CarteraOK	Admon de Cartera	Ventas Multicanal	Fábrica de Crédito	Contacto Domiciliario	Contact Center

El presente correo electrónico puede contener información confidencial o legalmente protegida y está destinado única y exclusivamente para el uso del destinatario(s) previsto, para su utilización especifica. Se le notifica por el presente que está prohibida su divulgación, revisión, transmisión, difusión o cualquier otro tipo de uso de la información contenida por personas extrañas al destinatario original. Si Usted no es el destinatario a quien se desea enviar este mensaje, tendrá prohibido darlo a conocer a persona alguna, así como a reproducirlo o copiarlo. Si recibe este mensaje por error, favor de notificarlo al remitente de inmediato y desecharlo de su sistema. COBRANDO BPO no se hace responsable de los errores u omisiones de este mensaje y niega cualquier responsabilidad por daños derivados de la utilización del correo electrónico. Cualquier opinión y otra declaración contenida en este mensaje y cualquier archivo adjunto son de exclusiva responsabilidad del autor y no representan necesariamente las de la empresa. En caso de querer presentar Consultas, Quejas o Reclamos puede realizar la solicitud al siguiente correo electrónico protecciondedatosperso...@cobrando.com.co o de forma presencial en la siguiente dirección: Av. Cra 50 # 93 a – 29 de la ciudad de Bogotá. Para más información sobre nuestra Política de Tratamiento de datos personales y sus modificaciones consulte en www.cobrando.com.co

Ariel Ojeda

unread,

Nov 15, 2022, 9:32:17 AM11/15/22

to Wazuh mailing list

Hi Joan,

I hope you are well today!

The alerts.log file contains the events the Wazuh manager received and that when processed by the analysis engine, were matched to a rule with a level 3 or higher (default configuration).

By default Wazuh rotates log files on a daily basis, they are compressed and stored in directories that are hierarchically organized in Years and Months. The rotation process takes place at 12 am, depending on the time of the Wazuh manager. The alerts rotated files are stored in the /var/ossec/logs/alerts folder.

Example:

[root@wazuh-server wazuh-user]# ll /var/ossec/logs/alerts/
total 4096
drwxr-x---. 9 wazuh wazuh      83 Nov  1 12:10 2022
-rw-r-----. 2 wazuh wazuh 1563320 Nov 15 14:13 alerts.json
-rw-r-----. 2 wazuh wazuh 2491554 Nov 15 14:13 alerts.log
[root@wazuh-server wazuh-user]#

[root@wazuh-server wazuh-user]# ll /var/ossec/logs/alerts/2022
total 28
drwxr-x---. 2 wazuh wazuh 4096 Aug 31 13:01 Aug
drwxr-x---. 2 wazuh wazuh 4096 Jul 25 17:01 Jul
drwxr-x---. 2 wazuh wazuh 4096 Jun 30 11:44 Jun
drwxr-x---. 2 wazuh wazuh 4096 Jun  1 00:00 May
drwxr-x---. 2 wazuh wazuh 4096 Nov 15 13:22 Nov
drwxr-x---. 2 wazuh wazuh 4096 Oct 31 12:25 Oct
drwxr-x---. 2 wazuh wazuh 4096 Sep 26 00:00 Sep
[root@wazuh-server wazuh-user]#

[root@wazuh-server wazuh-user]# ll /var/ossec/logs/alerts/2022/Nov/
total 10496
-rw-r-----. 1 wazuh wazuh    3534 Nov  2 00:00 ossec-alerts-01.json.gz
-rw-r-----. 1 wazuh wazuh     499 Nov  2 00:00 ossec-alerts-01.json.sum
-rw-r-----. 1 wazuh wazuh    3638 Nov  2 00:00 ossec-alerts-01.log.gz
-rw-r-----. 1 wazuh wazuh     496 Nov  2 00:00 ossec-alerts-01.log.sum
-rw-r-----. 1 wazuh wazuh    1641 Nov  3 00:00 ossec-alerts-02.json.gz
-rw-r-----. 1 wazuh wazuh     623 Nov  3 00:00 ossec-alerts-02.json.sum
-rw-r-----. 1 wazuh wazuh    1468 Nov  3 00:00 ossec-alerts-02.log.gz
-rw-r-----. 1 wazuh wazuh     620 Nov  3 00:00 ossec-alerts-02.log.sum
-rw-r-----. 1 wazuh wazuh    3387 Nov  4 00:00 ossec-alerts-03.json.gz
-rw-r-----. 1 wazuh wazuh     623 Nov  4 00:00 ossec-alerts-03.json.sum
-rw-r-----. 1 wazuh wazuh    3337 Nov  4 00:00 ossec-alerts-03.log.gz
-rw-r-----. 1 wazuh wazuh     620 Nov  4 00:00 ossec-alerts-03.log.sum
-rw-r-----. 1 wazuh wazuh  694400 Nov  4 20:17 ossec-alerts-04.json
-rw-r-----. 1 wazuh wazuh 1198775 Nov  4 20:17 ossec-alerts-04.log
-rw-r-----. 1 wazuh wazuh   61544 Nov  8 00:00 ossec-alerts-07.json.gz
-rw-r-----. 1 wazuh wazuh     499 Nov  8 00:00 ossec-alerts-07.json.sum
-rw-r-----. 1 wazuh wazuh   78892 Nov  8 00:00 ossec-alerts-07.log.gz
-rw-r-----. 1 wazuh wazuh     496 Nov  8 00:00 ossec-alerts-07.log.sum
-rw-r-----. 1 wazuh wazuh  802142 Nov  8 11:56 ossec-alerts-08.json
-rw-r-----. 1 wazuh wazuh 1265347 Nov  8 11:56 ossec-alerts-08.log
-rw-r-----. 1 wazuh wazuh  828866 Nov 14 21:23 ossec-alerts-14.json
-rw-r-----. 1 wazuh wazuh 1404006 Nov 14 21:23 ossec-alerts-14.log
-rw-r-----. 2 wazuh wazuh 1586766 Nov 15 14:14 ossec-alerts-15.json
-rw-r-----. 2 wazuh wazuh 2529828 Nov 15 14:14 ossec-alerts-15.log
[root@wazuh-server wazuh-user]#

In my case, both the alerts.json and alerts.log files are populated with alert information. If you are just interested in the alerts.log information, you can grab the related files and concatenate them to get the complete log information for a given period of time. You can use the zcat command to visualize the contents of the compressed files.

You can read more about this here:

Alerts

Alert threshold level

I hope this helps,

Ariel.

Reply all

Reply to author

Forward

0 new messages