Bei den Netzwerkgeräten Syslog aktivieren auf <IP-WAZUH-SERVER>:514 (UDP).
Im Dashboard WAZUH > Mangement > Configuration > Edit Configuration öffnen und folgenden Bereich einfügen:
<remote><connection>syslog</connection><port>514</port><protocol>udp</protocol><allowed-ips>192.168.1.0/24</allowed-ips><allowed-ips>192.168.2.0/24</allowed-ips><allowed-ips>192.168.3.0/24</allowed-ips></remote>Dann den folgenden Bereich ändern:
<logall>yes</logall>
<logall_json>yes</logall_json>
Dann die Datei /etc/filebeat/filebeat.yml bearbeiten und archives: enabled: false auf true stellen:
archives: enabled: trueAlle Dienste durchstarten:
systemctl restart filebeat wazuh-manager wazuh-indexer wazuh-dashboard Mit den folgenden Befehlen sieht man ob Daten ankommen:
tail -f /var/ossec/logs/archives/archives.logtail -f /var/ossec/logs/archives/archives.jsonDann unter Elasticsearch > Indicies schauen ob welche da sind vom Typ wazuh-archives-*, wenn ja dann unter Stack Mangement > Index Pattern auf den Button Create index pattern und dann den index wazuh-archives-* (@timestamp auswählen) erstellen.
Danach kann man im Elasticsearch unter Discover zwischen wazuh-alerts-* und wazuh-archives-* wechseln.
Sobald ein Decoder und Rules eingerichtet sind, kommen die Einträge auch ins Alert.
