Я создал собственный декодер и собственное правило для генерации предупреждений при получении журналов UniFi через системный журнал.
Когда я использую wazuh-logtest двоичный файл, чтобы проверить их с помощью журнала UniFi, пользовательское правило срабатывает и генерируется предупреждение.
Но на самом деле ничего не происходит...
Вот мой декодер и правило:
<decoder name="unifi">
<prematch type="pcre2">UAP-</prematch>
</decoder>
<rule id="100013" level="5">
<decoded\_as>unifi</decoded\_as>
<description>UniFi wifi log</description>
</rule>
Вот как я настроил свой менеджер Wazuh для прослушивания Syslog:
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>udp</protocol>
<allowed-ips>my LAN IP range</allowed-ips>
</remote>
На данный момент они действительно просты, так как я просто хочу активировать правило и получать оповещения о любом сообщении, полученном от контроллера UniFi. Я хочу быть уверен, что журнал соответствует моему декодеру. Пока нет необходимости извлекать какую-либо информацию.
К вашему сведению, вот как выглядит журнал UniFi (прослушивается с помощью сервера Syslog):
28 мая, 17:36:23.
Как я уже сказал, он запускает правило и создает предупреждение, когда я пробую его с помощью /var/ossec/bin/wazuh-logtest, но не в реальном использовании.
Я уже настроил то же самое для журналов Synology, и это прекрасно работает. Но для Unifi это не так.
Я использую Wazuh v4.2.5 и контроллер UniFi v7.1.65.
Мои серверы Wazuh и Unifi являются виртуальными машинами Debian. Агент Wazuh не установлен на контроллере Unifi, я пока хочу использовать только Syslog.
Большое спасибо за вашу помощь !
Первый вопрос на Reddit
