wazuh

关于Wazhu可以通过2种方式部署安装 第一种方法为：下载镜像 将镜像导入VM虚拟机里（需要电脑里有VM虚拟机软件） https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine. ......

1.wazuh环境配置及漏洞复现 进入官网下载OVA启动软件: Virtual Machine (OVA) - Installation alternatives (wazuh.com) 2.进入VMware像配置其他虚拟机一样进行配置即可 3.上面会有提示：账号为，wazuh-user；密码，wa ......

样本日志： IPS： Mar 10 17:12:34 XX-Internet-IPS1-R03-25U IPS: SerialNum=23139121998 GenTime="2023-03-10 17:12:34" SrcIP=23.10.156.214 SrcIP6= SrcIPVer=4 Ds ......

ALL-in-one ES账号密码位置 ALL-in-one安装的账号密码其实默认就是webUI访问的账号密码。 也可以用证书私钥的方式访问ES，参考wazuh-install.sh安装脚本 截取的相关代码，如下第1行、18行红色标记： indexer_cert_path="/etc/wazuh-i ......

IPS的日志格式为： Mar 10 17:12:34 XX-Internet-IPS1-XX03-XXU IPS: SerialNum=23139121 GenTime="2023-03-10 17:12:34" 在写IPS的日志解码器时，发现默认的正则类型处理类型很有限，GenTime的“”都无法 ......

使用wazuh自带的shuffle脚本实现 步骤： 1. 进入：/var/ossec/integrations 复制shuffle、shuffle.py两个文件，并重命名为：custom-feishu、custom-feishu.py 备注：一定要按这个方式命名，自定义告警前，都要加custom 2 ......

<!-- 检查使用公司外部打印机打印的行为 --> <group name="天擎"> <rule id="100020" level="5"> <decoded_as>json</decoded_as> <description>TianQing</description> <field name ......

背景： 使用wazuh对接安全系统日志，根据定义的敏感日志规则，触发告警，并在wazuh dashboard上展示 wazuh版本：4.4 天擎版本：v6 步骤： 1. 开启天擎syslog功能 ##在测试过程中，感觉天擎支持TCP、UDP两种协议，可以抓包看下是哪种协议。 ##我在设置514端口时 ......

1、Docker CE安装 参考：https://www.cnblogs.com/a120608yby/p/9883175.html 2、Docker Compose安装 参考：https://www.cnblogs.com/a120608yby/p/14582853.html 3、主机参数优化 # ......