Я выполнил базовую c установку Wazuh + MongoDB на стороне агента со следующими результатами:
- MongoDB по умолчанию записывает в файл системного журнала, расположенный по адресу
/var/log/syslog. - Внутри
/var/log/mongodb/mongod.log есть внутренние журналы mon go демона, которые более специфичны c.
Мы можем отслеживать такие журналы на агенте Wazuh с помощью:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
Это правило включено в агент по умолчанию, но в любом случае его следует запомнить. другой, когда вы указываете на него:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/mongodb/mongod.log</location>
</localfile>
Я только вижу, что вы не скопировали закрывающий тег </location>, но это может быть ошибка копирования, на что стоит взглянуть /var/ossec/logs/ossec.log чтобы найти ошибку.
С такой конфигурацией мы могли бы получать такие предупреждения:
** Alert 1595929148.661787: - syslog,access_control,authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,gpg13_7.8,gdpr_IV_35.7.d,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,
2020 Jul 28 09:39:08 (ubuntu-bionic) any->/var/log/mongodb/mongod.log
Rule: 2501 (level 5) -> 'syslog: User authentication failure.'
2020-07-28T09:39:07.431+0000 I ACCESS [conn38] SASL SCRAM-SHA-1 authentication failed for root on admin from client 127.0.0.1:52244 ; UserNotFound: Could not find user "root" for db "admin"
Если мы запустим mongo -u root (с неверным паролем) на стороне агента.