WAZUH中的NGINX日志

Question

我在我的设置中使用NGINX，在IDS中使用wazuh。

我想检查wazuh kibana中的所有nginx日志(访问/错误)日志，但我无法这样做。

所有的日志都被转发到“/var/ossec/ logs /archive/Archives.log "，它们在wazuh/kibana中是不可见的。

我是否必须在规则中添加任何更改。

Answer 1

您将只能看到破坏规则的日志。这些警报可以在/var/ossec/logs/alert中找到。在/var/ossec/ logs /archive中，您可以找到所有日志，即使它没有违反任何规则。默认情况下，logstash将仅发送alerts文件夹中的日志。

Answer 2

正如Vishnu ks所说，Kibana只会在他们违反规则时向您显示日志。如果您想查看可以打开archives.log文件的每个日志，您可以在以下位置找到它：

/var/ossec/logs/archives/archives.log

尽管如此，默认情况下wazuh不会将一个日志放在那里，因为您必须在ossec.conf文件中指明它。您可以通过执行以下操作轻松地进行配置：

vi /var/ossec/etc/ossec.conf

找到全局部分并将logall的值更改为yes。

<global>
    <jsonout_output>yes</jsonout_output>
    <alerts_log>yes</alerts_log>
    **<logall>yes</logall>**
    <logall_json>no</logall_json>

现在，通过调用以下命令重新启动wazuh manager：

systemctl restart wazuh-manager

最后，您将能够看到archives.log文件中的每个日志。

希望能有所帮助。

Answer 3

要查看kibana上的日志，您的日志必须符合规则，并且必须生成警报。如果您的日志未命中规则集，则它不会显示在kibana仪表板中。

您可以使用ossec-logtest函数简单地检查并确保您的日志文件和解码器规则位置。https://documentation.wazuh.com/3.13/user-manual/reference/tools/ossec-logtest.html