wazuh采集sysmon日志

agent.conf

在服务器agent.conf文件中添加以下内容

1
2
3
4
5
6
<agent\_config>
  <localfile>
    <location>Microsoft-Windows-Sysmon/Operational</location>
    <log\_format>eventchannel</log\_format>
  </localfile>
</agent\_config>

docker安装的wazuh,agent配置文件在 `wazuh.manager` 容器中。

ossec.conf

将logall_json修改为yes,如下:

<logall\_json>yes</logall\_json>

docker安装的wazuh,agent配置文件在 `wazuh.manager` 容器中。 修改上述两项后重启wazuh-manager服务

filebeat.yml

修改filebeat配置文件,修改内容如下:

1
2
3
4
5
6
7
8
...
filebeat.modules:
 - module: wazuh
  alerts:
   enabled: true
  archives:
   enabled: true
...

重启filebeat

service filebeat restart

测试filebeat输出

filebeat test output

添加Index Patterns

在WUI中,Management -> Stack Management -> Index Patterns 添加wazuh-archives-*的Patterns 添加完后,可以在Discover中看到客户端的sysmon日志。

添加IP黑名单

开始接收sysmon日志后,日志存储量会无限增大,需要对发送过来的源地址进行限制。 如果使用docker安装,需要在docker-compose.yml中,添加privileged,不添加的话无法在容器中启动iptables,如下:

1
2
3
4
5
6
7
8
9
10
11
services:
  wazuh.manager:
    image: wazuh/wazuh-manager:4.8.0
    hostname: wazuh.manager
    restart: always
    privileged: true       #添加
    ports:
      - "1514:1514"
      - "1515:1515"
      - "514:514/udp"
      - "55000:55000"

构建好docker容器后,在`wazuh.manager`容器中安装iptables,并添加目的端口为1514的黑名单即可,如下:

1
2
3
4
# apt update
# apt install iptables
# iptables -I INPUT -s x.x.x.x -p tcp --dport 1514 -j DROP
# iptables-save