SB
О супер, я пытаюсь загнать в движок ossec события из различных систем, и использовать его для их обработки. Никаких хостов при этом у меня нет, просто ряд систем (скуды, видеоаналитика, телеметрия и тд)
Я пытаюсь понять, как именно я могу записать самостоятельно свои собственные данные во всю эту машину, и нахожу в доке строчку
И дальше не слова про
нет.
Нашел на схеме что данные принимаются сервером в UDP и это смущает меня, данные важные, продолбать не хочется. Это единственное решение, или я чет не то делаю?
Я пытаюсь понять, как именно я могу записать самостоятельно свои собственные данные во всю эту машину, и нахожу в доке строчку
Moreover, agentless devices (such as firewalls, switches, routers, access points, etc.) are supported and can actively submit log data via Syslog, SSH, or using their own API
И дальше не слова про
their own API
нет.
Нашел на схеме что данные принимаются сервером в UDP и это смущает меня, данные важные, продолбать не хочется. Это единственное решение, или я чет не то делаю?
Не пробовал использовать TCP syslog, но для принимания сообщения на manager ноду используется директива
https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/remote.html
Если необходимо дергать API сервиса, то придется писать свой скрипт и отправлять сообщения в socket (
В блоге Wazuh есть пример, как забирать события из Office 365:
https://wazuh.com/blog/monitor-office-365-with-wazuh/
<remote> в ossec.conf:https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/remote.html
Если необходимо дергать API сервиса, то придется писать свой скрипт и отправлять сообщения в socket (
/var/ossec/queue/ossec/queue).В блоге Wazuh есть пример, как забирать события из Office 365:
https://wazuh.com/blog/monitor-office-365-with-wazuh/
