Am creat un decodor personalizat și o regulă personalizată pentru a genera alerte atunci când primesc jurnalele UniFi prin syslog.
Când folosesc wazuh-logtest binar pentru a le testa cu un jurnal UniFi, regula personalizată este declanșată și este generată o alertă.
Dar, în realitate, nu se întâmplă nimic...
Iată decodorul și regula mea:
<decoder name="unifi">
<prematch type="pcre2">UAP-</prematch>
</decoder>
<rule id="100013" level="5">
<decoded\_as>unifi</decoded\_as>
<description>UniFi wifi log</description>
</rule>
Iată cum mi-am configurat managerul Wazuh pentru a asculta Syslog:
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>udp</protocol>
<allowed-ips>my LAN IP range</allowed-ips>
</remote>
Deocamdată sunt foarte simple, deoarece vreau doar să declanșez regula și să am o alertă generată cu orice mesaj primit de la controlerul UniFi. Vreau să fiu sigur că jurnalul se potrivește cu decodorul meu. Nu este nevoie să extragi nicio informație deocamdată.
FYI, iată cum arată un jurnal UniFi (ascultat cu un server Syslog):
28 mai 17:36:23 wap001 78455819c06f,UAP-AC-InWall-6.0.18+13660: kernel: [ 205.373214] ol_ath_vap_set_param: Rata MGMT acceptată acum este 6000000 și codul:
După cum am spus, declanșează regula și creează o alertă atunci când o încerc /var/ossec/bin/wazuh-logtest, dar nu în uz real.
Am configurat deja aceleași chestii pentru jurnalele Synology și funcționează grozav. Dar pentru Unifi nu este.
Folosesc Wazuh v4.2.5 și controlerul UniFi v7.1.65
Serverele mele Wazuh și Unifi sunt ambele mașini virtuale Debian. Agentul Wazuh nu este instalat pe controlerul Unifi, vreau doar să folosesc Syslog pentru moment.
Multe multumiri pentru ajutorul tau !
Întrebat mai întâi pe Reddit
