3分钟搞定多源日志集成:Wazuh日志采集实战指南
项目地址: https://gitcode.com/GitHub_Trending/wa/wazuh 你是否还在为服务器日志、Windows事件、应用程序日志分散在不同地方而头疼?作为运维或安全人员,面对几十台服务器的日志孤岛,如何快速实现集中采集与分析?本文将带你用Wazuh轻松搞定Syslog、Windows事件日志等8种常见日志源的集成,从此告别日志管理混乱。
读完本文你将掌握:
- 3步完成Syslog日志采集配置
- Windows事件日志实时监控方案
- 命令输出转日志的实用技巧
- 日志采集故障排查指南
Wazuh日志采集架构解析
Wazuh通过日志收集器(Logcollector)模块实现多源日志集成,该模块支持文件监控、系统日志、Windows事件等多种输入类型。其核心工作流程如下:
Logcollector的实现代码位于src/logcollector/logcollector.c,其中read_syslog函数负责处理系统日志输入,通过文件指针追踪和哈希计算确保日志完整性。
1. Syslog日志集成
Syslog是类Unix系统的标准日志格式,Wazuh默认已配置常见系统日志文件监控。
配置示例
在etc/ossec.conf中添加以下配置段:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/auth.log</location>
</localfile>
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
工作原理
Logcollector通过src/logcollector/read_syslog.c中的read_syslog函数实现日志读取:
- 使用
fgets按行读取日志文件 - 通过哈希计算跟踪文件位置,防止重复读取
- 支持日志截断检测和大文件处理
验证方法
检查Wazuh管理器日志确认配置生效:
grep "Reading syslog message" /var/ossec/logs/ossec.log
2. Windows事件日志采集
Windows系统使用事件日志(Event Log)记录系统活动,Wazuh提供两种采集方式:WMI查询和事件通道API。
配置示例
<localfile>
<log_format>eventchannel</log_format>
<location>Security</location>
</localfile>
<localfile>
<log_format>eventchannel</log_format>
<location>Application</location>
</localfile>
实现机制
Windows事件日志采集通过Wazuh Agent的事件通道接口实现,相关代码位于Windows平台专用模块。日志数据通过安全通道加密传输到Wazuh Manager,确保敏感信息在传输过程中的安全性。
3. 命令输出日志化
Wazuh支持将命令执行结果作为日志源,适用于监控系统状态或应用健康检查。
配置示例
<localfile>
<log_format>full_command</log_format>
<command>netstat -tan | grep LISTEN | grep -v 127.0.0.1 | sort</command>
<frequency>360</frequency>
</localfile>
<localfile>
<log_format>command</log_format>
<command>df -P</command>
<frequency>360</frequency>
</localfile>
参数说明
| 参数 | 说明 |
|---|---|
| log_format | 命令类型:command返回单行,full_command返回多行 |
| frequency | 执行间隔(秒) |
| command | 要执行的系统命令 |
4. 高级配置与优化
日志过滤
通过正则表达式实现日志过滤,只采集关注的内容:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/nginx/access.log</location>
<regex>^.* 404 .*$</regex> <!-- 只采集404错误日志 -->
</localfile>
性能调优
对于大型日志文件,可通过以下参数优化采集性能:
- 设置
max_eps限制事件每秒发送数量 - 调整
frequency参数减少高频日志的采集压力 - 使用
ignore标签排除无用日志路径
5. 常见问题排查
配置不生效
- 检查配置文件格式是否正确:
/var/ossec/bin/wazuh-check-config
- 确认日志文件权限:
ls -la /var/log/auth.log
- 查看Logcollector运行状态:
grep logcollector /var/ossec/logs/ossec.log
日志重复采集
这通常是由于日志文件被轮转导致,可通过以下配置解决:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/nginx/access.log</location>
<only_future_events>yes</only_future_events>
</localfile>
总结与展望
本文介绍了Wazuh日志源集成的核心方法,涵盖Syslog、Windows事件日志、命令输出等常见场景。通过合理配置日志采集,你可以构建全面的安全监控体系,及时发现系统异常和安全威胁。
Wazuh日志收集器持续进化,未来将支持更多云原生日志源如Kubernetes事件、容器日志等。建议定期查看docs/ref/configuration.md获取最新配置指南。
如果你觉得本文对你有帮助,请点赞收藏,并关注后续的"Wazuh日志分析实战"系列文章。有任何问题欢迎在评论区留言讨论!
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
