Análisis de archivos de logs con Wazuh
Mediante el uso de un script personalizado, Se realizará la copia línea por línea de los archivos recibidos hacia un archivo monitorizado por Wazuh, simulando así el comportamiento del agente que recibe los logs en tiempo real.
Siguiendo estos pasos se podrán gestionar y analizar los datos de manera más eficiente, por que se filtraran las alertas por nivel de criticidad en el dashboard y no tendremos que analizar los logs que tienen criticidad nula o no tienen que ver con la investigación, para lograrlo realizaremos los siguientes pasos:
Edición del archivo de configuración.
Abrimos el archivo de configuración del agente o manager de Wazuh ossec.conf posteriormente agregamos la configuración para monitorear el archivo de logs.
nano /var/ossec/etc/ossec.conf
Configuración de ejemplo:
<localfile>
<log_format>syslog</log_format>
<location>/ruta/al/archivo/authlog.log</location>
</localfile>
Se debe verificar el formato del archivo de los registros para que sea decodificado de manera correcta y posteriormente analizado.
Una vez realizada la edición del archivo se debe reiniciar el agente o el manager donde se haya realizado la configuración.
systemctl restart wazuh-agent
systemctl restart wazuh-manager
Automatización.
Este script leerá el archivo de logs línea por línea y lo copiará a un archivo que será monitorizado por Wazuh.
#!/bin/bash
# Archivo de entrada (registros proporcionados)
input_file="authlog.log"
# Archivo de salida (Archivo monitorizado por wazuh)
output_file="archivoauthlog.log"
# Verifica si el archivo de salida existe y, si es así, lo elimina
if [ -f "$output_file" ]; then
rm "$output_file"
fi
# Lee el archivo línea por línea
while IFS= read -r line
do
# Simula la recepción de logs añadiendo un retraso de 200 ms
sleep 0.2
# Escribe la línea en el archivo de salida
echo "$line" >> "$output_file"
echo "Log añadido: $line"
done < "$input_file"
echo "El archivo ha sido copiado línea por línea a $output_file"
chmod +x /ruta/al/script.sh
Verificación la Configuración.
Acceder al panel de Wazuh Manager y verificar que los logs estén siendo recibidos y analizados correctamente.
Para comprobar que se trata del archivo analizado inspeccionamos el elemento deseado y verificamos que se trata del archivo de logs escogido.