Tôi đã tạo bộ giải mã tùy chỉnh và quy tắc tùy chỉnh để tạo cảnh báo khi nhận nhật ký UniFi qua nhật ký hệ thống.
Khi tôi sử dụng wazuh-logtest
nhị phân để kiểm tra những điều này bằng nhật ký UniFi, quy tắc tùy chỉnh sẽ được kích hoạt và cảnh báo sẽ được tạo.
Nhưng trong thực tế, không có gì xảy ra ...
Đây là bộ giải mã và quy tắc của tôi:
<decoder name="unifi">
<prematch type="pcre2">UAP-</prematch>
</decoder>
<rule id="100013" level="5">
<decoded\_as>unifi</decoded\_as>
<description>UniFi wifi log</description>
</rule>
Đây là cách tôi định cấu hình trình quản lý Wazuh của mình để nghe Syslog :
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>udp</protocol>
<allowed-ips>my LAN IP range</allowed-ips>
</remote>
Hiện tại, chúng thực sự đơn giản, vì tôi chỉ muốn kích hoạt quy tắc và tạo cảnh báo với bất kỳ thông báo nào nhận được từ bộ điều khiển UniFi. Tôi muốn chắc chắn rằng nhật ký khớp với bộ giải mã của tôi. Không cần phải trích xuất bất kỳ thông tin cho bây giờ.
Xin cho biết, đây là nhật ký UniFi trông như thế nào (được nghe bằng máy chủ Syslog):
Ngày 28 tháng 5 17:36:23 wap001 78455819c06f,UAP-AC-InWall-6.0.18+13660: kernel: [ 205.373214] ol_ath_vap_set_param: MGMT RATE hiện được hỗ trợ là 6000(kbps) và mã tốc độ: 0x3
Như tôi đã nói, nó kích hoạt quy tắc và tạo cảnh báo khi tôi thử với /var/ossec/bin/wazuh-logtest
, nhưng không được sử dụng thực tế.
Tôi đã định cấu hình nội dung tương tự cho nhật ký Synology và nó hoạt động rất tốt. Nhưng đối với Unifi thì không.
Tôi đang sử dụng bộ điều khiển Wazuh v4.2.5 và UniFi v7.1.65
Máy chủ Wazuh và Unifi của tôi đều là máy ảo Debian. Tác nhân Wazuh chưa được cài đặt trên bộ điều khiển Unifi, tôi chỉ muốn sử dụng Syslog ngay bây giờ.
Rất cảm ơn vì sự giúp đỡ của bạn !
Lần đầu tiên được hỏi trên Reddit