>我在/var/ossec/etc/ossec.conf
上进行了以下设置,之后重新启动了代理,但它没有在 Kibana 仪表板上显示日志
<localfile>
<log_format>syslog</log_format>
<location>/var/log/mongodb/mongod.log</location>
我在代理端执行了Wazuh + MongoDB的基本安装,结果如下:
- 默认情况下,MongoDB写入位于
/var/log/syslog
的系统日志文件。 - 在
/var/log/mongodb/mongod.log
内部有更具体的内部 mongo 守护程序日志。
我们可以通过以下方式监视Wazuh代理上的此类日志:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
默认情况下,此规则包含在代理上,但无论如何都值得记住。 另一个正如你指出的那样:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/mongodb/mongod.log</location>
</localfile>
我只看到您没有复制结束标签</location>
但这可能是复制错误,看看/var/ossec/logs/ossec.log
发现一些错误有什么好处。
通过该配置,我们可以收到如下警报:
** Alert 1595929148.661787: - syslog,access_control,authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,gpg13_7.8,gdpr_IV_35.7.d,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,
2020 Jul 28 09:39:08 (ubuntu-bionic) any->/var/log/mongodb/mongod.log
Rule: 2501 (level 5) -> 'syslog: User authentication failure.'
2020-07-28T09:39:07.431+0000 I ACCESS [conn38] SASL SCRAM-SHA-1 authentication failed for root on admin from client 127.0.0.1:52244 ; UserNotFound: Could not find user "root" for db "admin"
如果我们在代理端运行mongo -u root
(使用错误的密码(。