注册
登录
ELK
如何检索OSSEC的日志警报到Elasticsearch(ELK)?
返回
如何检索OSSEC的日志警报到Elasticsearch(ELK)?
作者:
老夫的少女心吖
发布时间:
2024-12-30 01:00:09 (7天前)
转自:
<div class =“excerpt”> 使用纯OSSEC。我的OSSEC和 <span class =“result-highlight”> 麋鹿 </跨度> 应用程序位于samw机器中 我的问题是,我如何整合OSSEC <span class =“result-highlight”> 麋鹿 </跨度> ?在开始连接OSSEC之前,我必须先做什么配置 <span class =“result-highlight”> 麋鹿 </跨度> ? </DIV>
收藏
举报
2 条回复
0#
回复此人
易米烊光
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 您需要加载数据模板,以便Elastisearch可以理解警报数据的格式。您可以使用Wazuh制作的那个,或者您可以下载并修改它以“制作您自己的”。如果你沿着这条路走下去,你最终会试图重写Wazuh,因为它是开源的,所以你不需要这样做。您可以下载所有源文件,并随意使用它们。 </p> <P> 的<strong> 加载模板的命令: </强> </p> <pre> <code> curl https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -XPUT 'http://localhost:9200/_template/wazuh' -H 'Content-Type: application/json' -d @- </code> </pre> <P> 的<strong> 下载模板: </强> </p> <P> <a href="https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/elasticsearch/wazuh-elastic6-template-alerts.json" rel="nofollow noreferrer"> https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/elasticsearch/wazuh-elastic6-template-alerts.json </A> </p> <P> 的<strong> -要么- </强> </p> <P> 你可以启动一个准备好的Docker容器: </p> <P> <a href="https://github.com/wazuh/docker-ossec-elk" rel="nofollow noreferrer"> https://github.com/wazuh/docker-ossec-elk </A> </p> </DIV>
编辑
登录
后才能参与评论
