Сервер OSSEC или Wazuh сервер для конвейера Logstash к Qradar

Question

В моей нынешней лабораторной установке у меня есть несколько машин с windows и linux с установленным агентом ossec и отправкой журналов на сервер ossec.С сервера OSSEC я пересылаю логи через вывод системного журнала в logstash.В logstash я не делаю никаких изменений, просто пересылаю простой журнал в qradar, как он был получен (я его проверил).Он имеет уровень оповещения, правила и события.Но в qradar он показывает единственный источник журналов, который является сервером logstash.Из logstash я отправляю журналы как syslog на qradar.В идеале в qradar все машины, отправляющие журналы в ossec, должны быть перечислены в источниках журналов, но этого не происходит.Что я здесь не так делаю?Любая помощь ... Я перешел по этой ссылке https://www.ibm.com/support/knowledgecenter/en/SS42VS_DSM/t_DSM_guide_OSSEC_cfg.html, вместо того, чтобы напрямую отправлять логи в qradar, я поместил между ними логи.

Answer 1

Я не вижу ничего плохого, если у вас есть Logstash между вашими устройствами и QRadar, тогда единственный источник журналов, о котором QRadar знает, это ваш сервер Logstash, это единственная служба, отправляющая данные на него.

Если вы хотите, чтобы ваши устройства ossec были перечислены в качестве источников журналов в QRadar, я думаю, что вам нужно будет отправлять журналы напрямую в QRadar.

edit: я не очень хорошо знаю QRadar, но если это возможно,используйте теги или настраиваемые поля для идентификации источника журнала, возможно, вы можете добавить настраиваемое поле в конвейер logstash, и QRadar будет использовать это поле, чтобы знать, что источником журнала является не ваш сервер logstash, а другое устройство.