Logstash NGINX在WAZUH登录
我在设置中使用NGINX,在id中使用wazuh 我想检查wazuh kibana中的所有nginx日志(访问/错误)日志,但我无法这样做 所有日志都转发到“/var/ossec/logs/archives/archives.log”,它们在wazuh/kibana中不可见Logstash NGINX在WAZUH登录,logstash,kibana,intrusion-detection,ossec,wazuh,Logstash,Kibana,Intrusion Detection,Ossec,Wazuh,我在设置中使用NGINX,在id中使用wazuh 我想检查wazuh kibana中的所有nginx日志(访问/错误)日志,但我无法这样做 所有日志都转发到“/var/ossec/logs/archives/archives.log”,它们在wazuh/kibana中不可见 我是否必须添加任何规则更改。您将只能看到违反规则的日志。这些警报可以在/var/ossec/logs/alerts中找到。在/var/ossec/logs/archive中,您可以找到所有日志,即使它没有违反任何规则。默认情
我是否必须添加任何规则更改。您将只能看到违反规则的日志。这些警报可以在/var/ossec/logs/alerts中找到。在/var/ossec/logs/archive中,您可以找到所有日志,即使它没有违反任何规则。默认情况下,logstash只发送警报文件夹中的日志 您将只能看到违反规则的日志。这些警报可以在/var/ossec/logs/alerts中找到。在/var/ossec/logs/archive中,您可以找到所有日志,即使它没有违反任何规则。默认情况下,logstash只发送警报文件夹中的日志 正如毗瑟奴ks所说,Kibana只会在日志违反规则时向您显示日志。如果要查看可以打开archives.log文件的每个日志,可以在那里找到它:
/var/ossec/logs/archives/archives.log
vi /var/ossec/etc/ossec.conf
<global>
<jsonout_output>yes</jsonout_output>
<alerts_log>yes</alerts_log>
**<logall>yes</logall>**
<logall_json>no</logall_json>
希望能有帮助。正如毗瑟奴ks所说,只有当日志违反规则时,Kibana才会向您显示日志。如果要查看可以打开archives.log文件的每个日志,可以在那里找到它:
/var/ossec/logs/archives/archives.log
vi /var/ossec/etc/ossec.conf
<global>
<jsonout_output>yes</jsonout_output>
<alerts_log>yes</alerts_log>
**<logall>yes</logall>**
<logall_json>no</logall_json>
希望有帮助。要查看kibana上的日志,您的日志必须符合规则并生成警报。如果您的日志未命中规则集,那么它将不会显示在kibana仪表板中 通过使用ossec logtest函数,您可以简单地检查并确定日志文件和解码器规则的位置。
要查看kibana上的日志,您的日志必须符合规则并生成警报。如果您的日志未命中规则集,那么它将不会显示在kibana仪表板中 通过使用ossec logtest函数,您可以简单地检查并确定日志文件和解码器规则的位置。
这一问题已得到解决。在下面的命令中用于添加自定义日志/var/ossec/bin/util.sh addfile/var/log/rootsh/rootsh.log/var/ossec/bin/util.sh addfile/var/log/nginx/access.log此问题已得到解决。在下面的命令中用于添加自定义日志/var/ossec/bin/util.sh addfile/var/log/rootsh/rootsh.log/var/ossec/bin/util.sh addfile/var/log/nginx/access.log