W Wazuh domyślnie można przeglądać tylko logi z rozpoznanych alertów. Możemy jednak tak ustawić aby Wazuh indeksował i umożliwił przeglądanie wszystkich wysyłanych do niego logów.
w pliku konfiguracji /var/ossec/etc/ossec.conf ustawiamy
# nano /var/ossec/etc/ossec.conf
<logall_json>yes</logall_json>
# systemctl restart wazuh-manager Zmieniamy konfigurację Filebeat aby czytał i wysyłał alerty i archiwa
# nano /etc/filebeat/filebeat.yml
filebeat.modules:
- module: wazuh
alerts:
enabled: true
archives:
enabled: true
# systemctl restart filebeatLogujemy się do dashboard Wazuh i dodajemy wzór indeksu.
Menu -> Management -> Stack Management -> Index Patterns -> Create index pattern
- W polu „Index pattern name” wpisujemy wazuh-archives-* i naciskamy „Next”
- W polu „timestamp” wybieramy „timestamp” ale nie „@timestamp”
- Wybieramy „Create index pattern”
Teraz w „Security events” po prawej stronie u góry możemy wybierać wzór indexu „Index pattern”
