我在设置中使用NGINX,而wazuh用于IDS。
我想检查wazuh kibana中的所有nginx日志(访问/错误(日志,但我无法这样做。
所有日志都转发到"/var/ossec/logs/archives/archives.log ",并且在wazuh/kibana中不可见。
我是否必须在规则中添加任何更改。
您将只能看到破坏规则的日志。这些警报可以在/var/ossec/logs/alerts 中找到。在/var/ossec/logs/archive 中,您可以找到所有日志,即使它没有违反任何规则。默认情况下,logstash 只会发送警报文件夹中的日志。
正如毗湿奴所说,Kibana 只会在他们违反规则时向您显示日志。如果你想查看每个日志,你可以打开存档.log文件,你可以在那里找到它:
/var/ossec/logs/archives/archives.log
尽管如此,默认情况下,wazuh 不会在那里放置单个日志,因为您必须在 ossec.conf 文件中指出它。您可以通过执行以下操作轻松配置:
vi /var/ossec/etc/ossec.conf
在那里找到全局部分并将logall的值更改为yes。
<global>
<jsonout_output>yes</jsonout_output>
<alerts_log>yes</alerts_log>
**<logall>yes</logall>**
<logall_json>no</logall_json>
现在,通过调用以下命令重新启动 wazuh 管理器:
systemctl restart wazuh-manager
最后,您将能够看到存档.log文件中的每个日志。
希望对您有所帮助。
要查看 Kibana 上的日志,您的日志必须符合规则,并且必须生成警报。如果您的日志未命中规则集,则不会显示在 kibana 仪表板中。
您可以通过使用 ossec-logtest 函数来简单检查并确保日志文件和解码器规则位置。 https://documentation.wazuh.com/3.13/user-manual/reference/tools/ossec-logtest.html