[Wazuh] Wazuh Agent 로그 추가 수집 및 모니터링 방법
Wazuh는 기본적으로 Wazuh Agent에서 생성 된 로그를 기반으로 Decode/Rule을 통해 이벤트를 탐지한다.
그렇기에 Wazuh Agent에서 어떤 로그를 수집/모니터링 및 분석할지가 중요하다!!
Wazuh Server는 Wazuh Agent의 /var/ossec/etc/ossec.conf 하단에 위치한 <localfile>을 기본으로 수집/모니터링한다.
위에서 볼 수 있듯이 기본적으로 /var/log 위치의 로그를 수집/분석한다.
그렇다면, 기본 경로의 파일 외 내가 원하는 로그 파일을 수집하고자 할 때는 어떻게 할 수 있을까?
아래 Wazuh Document에 나와있지만, 조금 알아보기가 어려워서 나름 정리해보았다.
작동 방식 - 데이터 수집 기록 · 와즈 문서 (wazuh.com)
How it works - Log data collection · Wazuh documentation
User manual, installation and configuration guides. Learn how to get the most out of the Wazuh platform.
documentation.wazuh.com
Wazuh Agent 로그 추가 수집 방법
1. Wazuh Agent 설치 서버 대수가 적은 경우(설정 수동 변경)
Wazuh Agent가 설치 된 서버에서 직접 /var/ossec/etc/ossec.conf 하단에 직접 입력하여 추가할 수 있다.
하지만 Agent 설치 서버 대수가 적은 경우는 직접 수정할 수 있겠지만, 설치 서버가 많은 경우에는 하나씩 설정을 바꾸기가 힘들다.
그래서 Wazuh에서는 Share 겨오에 배포할 agent.conf 파일을 작성할 수 있다.
2. Wazuh Agent 설치 서버 대수가 많은 경우(중앙에서 Conf 일괄 배포)
Wazuh Server에서 /var/ossec/etc/shared/default/agnet.conf에 작성하여 각 Wazuh Agent 서버에 일괄 배포 가능하다.
기본적으로 Wazuh Agent의 notify_time 시간을 기준으로 하며, 그 값은 10s 이다.
1. Wazuh Server의 /var/ossec/etc/shard/default/agent.conf 경로에 배포할 agent.conf 설정
2. Wazuh Server에서 agent.conf를 수정할 경우, Wazuh Agent의 notify_time(기본 10초) 마다 업데이트가 된다.
- agent.conf를 수정하면, Wazuh Agent가 자동으로 Stop/Start 되므로, Wazuh Server 또는 Agent에서 추가 작업은 필요없다.
- 업데이트 주기 변경은 Wazuh Agent가 설치 된 서버에서 /var/ossec/etc/ossec.conf에서 notify_time이 수정하면 된다.
3. Wazuh Agent에서 /var/ossec/etc/shard/agent.conf를 열어보면 자동으로 업데이트가 되어 있다.
4. /var/log/test 로그를 기반으로 하는 Decode/Rule을 만들고 alerts.log를 보면 test 파일이 수집 되었음을 알 수 있다.
- Wazuh Decode, Rule Custom은 다음에 한번 알아보자..
만약에 Wazuh Agent만 재시작하고 싶을 경우 /var/ossec/bin/wazuh-control restart 명령어를 입력하면 된다.
추가로 notify_time이 기본적으로 10초로 되어 있어서, 위 agent.conf에 수정을 했는데 반영이 안된다 ㅜㅜ
- 직접 /var/ossec/etc/ossec.conf에 수정하는 경우는 notify time이 반영 되는데
이상하게 agent.conf에 추가하는 경우는 반영이 안된다... 흠...
끝!