Análisis de archivos de logs con Wazuh

Mediante el uso de un script personalizado, Se realizará la copia línea por línea de los archivos recibidos hacia un archivo monitorizado por Wazuh, simulando así el comportamiento del agente que recibe los logs en tiempo real.

Siguiendo estos pasos se podrán gestionar y analizar los datos de manera más eficiente, por que se filtraran las alertas por nivel de criticidad en el dashboard y no tendremos que analizar los logs que tienen criticidad nula o no tienen que ver con la investigación, para lograrlo realizaremos los siguientes pasos:

Edición del archivo de configuración.

Abrimos el archivo de configuración del agente o manager de Wazuh ossec.conf posteriormente agregamos la configuración para monitorear el archivo de logs.

nano /var/ossec/etc/ossec.conf

Configuración de ejemplo:

<localfile>
    <log_format>syslog</log_format>
    <location>/ruta/al/archivo/authlog.log</location>
</localfile>

Se debe verificar el formato del archivo de los registros para que sea decodificado de manera correcta y posteriormente analizado.

Una vez realizada la edición del archivo se debe reiniciar el agente o el manager donde se haya realizado la configuración.

systemctl restart wazuh-agent
systemctl restart wazuh-manager

Automatización.

Este script leerá el archivo de logs línea por línea y lo copiará a un archivo que será monitorizado por Wazuh.

#!/bin/bash
# Archivo de entrada (registros proporcionados)
input_file="authlog.log"
# Archivo de salida (Archivo monitorizado por wazuh)
output_file="archivoauthlog.log"
# Verifica si el archivo de salida existe y, si es así, lo elimina
if [ -f "$output_file" ]; then
    rm "$output_file"
fi
# Lee el archivo línea por línea
while IFS= read -r line
do
    # Simula la recepción de logs añadiendo un retraso de 200 ms
    sleep 0.2
    # Escribe la línea en el archivo de salida
    echo "$line" >> "$output_file"
    echo "Log añadido: $line"
done < "$input_file"
echo "El archivo ha sido copiado línea por línea a $output_file"

chmod +x /ruta/al/script.sh

Verificación la Configuración.

Acceder al panel de Wazuh Manager y verificar que los logs estén siendo recibidos y analizados correctamente.

Para comprobar que se trata del archivo analizado inspeccionamos el elemento deseado y verificamos que se trata del archivo de logs escogido.

Wordpress comprometido

SEO Japonés

Joomla comprometido

Ransomware

Adware

Backdoors/webshells

Herramientas sandbox

Defacement principal

Defacement secundario

Denunciar sitios y correos

Analizar cabeceras y configuraciones de correo

Sistema operativo Linux

Sistema operativo Windows

Recrear datastore eliminado VMware vSphere

Exportar e importar posts de wordpress a una nueva instalación

Recuperar acceso root mediante cambio de contraseña

Fail2ban para HTTP

Análisis de registros posterior a un ataque DDoS

Filtración de credenciales de usuario

Filtración de estructuras de datos, archivos, bases de datos

Recursos en línea

Análisis de archivos de logs con Wazuh

01- Distribución de phishing evento MISP

02- Direcciones IP con actividad de malware evento MISP

03- Campaña DDoS evento MISP

Análisis de archivos de logs con Wazuh

Edición del archivo de configuración.

Automatización.

Verificación la Configuración.