wazuh dodatkowe alerty

[adamwolny]

A jeżeli mam już dodana większą ilość agentów ale chciałbym dodać nową lokalizację, która nie była wcześniej uwzględniona,  to jak to mogę zrobić?

[WojciechG]

Jest taka możliwość ale to zadziała tylko jeżeli w konfiguracji agenta była wcześniej dodana linia w pliku /var/ossec/etc/local_internal_options.conf

Code:

wazuh_command.remote_commands=1

Wtedy dla każdej grupy hostów można dodać nowe reguły z poziomu kontrolera które automatycznie dodadzą się do agentów. Przykład dla grupy o nazwie linux-centos:

W pliku /var/ossec/etc/shared/linux-centos/agent.conf dodajemy:

Code:

<agent_config>
<localfile>
    <log_format>mysql_log</log_format>
    <location>/var/log/mysql/error.log</location>
  </localfile>
</agent_config>