使用wazuh自带的shuffle脚本实现
步骤:
1. 进入:/var/ossec/integrations
复制shuffle、shuffle.py两个文件,并重命名为:custom-feishu、custom-feishu.py
备注:一定要按这个方式命名,自定义告警前,都要加custom
2. 编辑custom-feishu.py,修改generate_msg函数:
3. 如果想看告警处理信息(debug日志),可以设置debug_enabled=True后,从sudo tailf /var/ossec/logs/integrations.log 查看发送到飞书前的消息格式。
备注: debug日志在最后有用~
4. 编辑告警设置:
sudo vim /var/ossec/etc/ossec.conf
输入正确的webhook地址
需要发送告警的组(group)名称(也可以按其他字段筛选发送),我这边事件组的名称为天擎:
<integration>
<name>custom-feishu</name>
<hook_url>https://www.feishu.cn/flow/api/trigger-webhook/11123343a11111282sdfsdfsdfwee585258</hook_url>
<group>天擎</group>
<alert_format>json</alert_format>
</integration>
5. 重启wazuh-manager后,触发告警,查看是否在飞书上能收到消息。
6. 如果能收到消息,证明网络通讯、配置都正确。
7.最后,从debug日志中拿到发送给飞书的原始消息,将他贴到飞书的机器人中,以json格式识别字段。就可以在机器人告警中调用事件字段展示了。
我发现飞书会自动将wazuh发送的utf-8编码消息转化成中文编码,导致直接贴到飞书机器人后,JSON格式不对。这里有点儿坑