Wazuh Agent Olmadan Özel Log Entegrasyonu – 3 Adımda Özet

🚀 Wazuh Agent Olmadan Özel Log Entegrasyonu – 3 Adımda Özet

Agent yüklenemeyen sistemlerde, kendi özel formatında loglar üreten cihazlardan Wazuh’a logları entegre etmek için temel üç adım vardır. Bu rehberde, log dosyasını senkronize etmek, özel decoder yazmak ve uygun kurallar oluşturmak üzerine odaklanacağız.

1. Log Dosyasının Wazuh Sunucusuna Senkronize Edilmesi

Agent yüklenemeyen sistemler doğrudan Wazuh’a log gönderemez. Bu yüzden log dosyasını rsync, scp gibi araçlarla ya da ağ tabanlı başka bir yöntemle merkezi Wazuh sunucusuna kopyalamak gerekir.

# Örnek rsync komutu:
rsync -avz /etc/log1 wazuh-server:/var/log/custom_logs/log1
            

Wazuh sunucusunda: Bu log dosyasını genellikle /var/log/custom_logs/ dizininde toplarız.

2. Wazuh Decoder Yazılması

Özel log formatları, Wazuh’un standart decoder’ları tarafından anlaşılamaz. Bu yüzden log formatına uygun decoder yazılması gerekir. Örnek olarak, aşağıdaki gibi özel log satırlarını parse eden bir decoder oluşturulabilir:

<decoder name="fire_event_decoder">
  <program_name>custom_fire_log</program_name>
  <type>fire_event</type>
  <prematch>Yangın Zamanı</prematch>
  <regex>Yangın Zamanı: (?<time>\d{2}:\d{2})\nHangi İnsan: (?<person>\w+)\nHangi motor: (?<motor_ip>\d{1,3}(\.\d{1,3}){3})</regex>
</decoder>
            

Decoder dosyası yolu: /var/ossec/etc/decoders/local_decoder.xml (Wazuh Manager üzerinde)

3. Wazuh Rule Yazılması

Decoder ile ayrıştırılan log girdileri için uygun rule yazarak, kritik durumlar için uyarılar ve aksiyonlar belirlenir. Örnek rule:

<rule id="100001" level="10">
  <decoded_as>fire_event</decoded_as>
  <description>Özel Yangın Logu Algılandı</description>
  <group>fire,custom_logs</group>
</rule>
            

Rule dosyası yolu: /var/ossec/etc/rules/local_rules.xml

📋 Özet Tablosu

Sonuç

Agent olmayan sistemlerden özel logları Wazuh’a entegre etmek, logların merkezi sunucuya aktarılması, doğru şekilde decode edilmesi ve uygun kuralların tanımlanması ile mümkündür. Bu 3 adımı takip ederek güvenlik analizlerinizi genişletebilir ve özel cihazlarınızın loglarını etkin şekilde değerlendirebilirsiniz.

🔄 Wazuh Servisini Yeniden Başlatma (Ubuntu)

Konfigürasyon değişikliklerinden sonra Wazuh Manager servisini yeniden başlatmanız gerekir. Ubuntu sistemlerde aşağıdaki komutları kullanabilirsiniz:

sudo systemctl restart wazuh-manager.service
            

Servisin durumunu kontrol etmek için:

sudo systemctl status wazuh-manager.service
            

🧪 Log Test ve Doğrulama Komutları

Yeni eklenen decoder ve rule’ların doğru çalışıp çalışmadığını test etmek için Wazuh loglarını ve analiz sonuçlarını inceleyebilirsiniz.

1. Wazuh Log Dosyalarını İzlemek

sudo tail -f /var/ossec/logs/ossec.log
            

Burada hata, uyarı veya başarılı decode mesajları görebilirsiniz.

2. Wazuh Decode Edilmiş Logları Görüntülemek

sudo cat /var/ossec/logs/alerts/alerts.json | jq '.' | less
            

jq komutu JSON formatındaki alertleri daha okunabilir yapar.

3. Manuel Log Testi (Log Simülasyonu)

Log dosyasına elle test satırı ekleyip Wazuh’un nasıl tepki verdiğini gözlemleyebilirsiniz:

echo -e "Yangın Zamanı: 00:00\nHangi İnsan: Kadın\nHangi motor: 10.196.1.4" | sudo /var/ossec/bin/ossec-logtest
            

ossec-logtest komutu Wazuh’un logu nasıl parse ettiğini gösterir, decoder ve rule testi için idealdir.

✅ Özet

• Servis restart: sudo systemctl restart wazuh-manager.service
• Servis durumu: sudo systemctl status wazuh-manager.service
• Logları takip et: sudo tail -f /var/ossec/logs/ossec.log
• Alertleri incele: sudo cat /var/ossec/logs/alerts/alerts.json | jq '.' | less
• Manuel log testi: sudo /var/ossec/bin/ossec-logtest ile