### Uyarıları İletme Wazuh yöneticisi, dizinleme ve analiz yetenekleri için uyarıları varsayılan olarak Wazuh dizinleyicisine iletir. Ayrıca, Wazuh yöneticisi, analiz ve yedekleme için uyarıları yapılandırma ve diğer sistemlere iletme yeteneği sağlar.

#### Syslog Çıktısını Yapılandırma Syslog\_output seçeneğini kullanarak Wazuh sunucusunu bir syslog sunucusuna uyarılar gönderecek şekilde yapılandırabilirsiniz . Uyarıları bir syslog sunucusuna iletmek, merkezi izleme ve özel raporlama için yararlı olabilir.

##### Yapılandırma

`/var/ossec/etc/ossec.conf`Syslog çıktısı, blok içindeki Wazuh sunucu yapılandırma dosyasında yapılandırılır . Varsayılan olarak, Wazuh yöneticisi uyarıları UDP protokolü üzerinden ``port kullanarak syslog sunucularına iletir .`514`

Aşağıdaki kod bloğu, uyarıları bir syslog sunucusuna iletmek için örnek bir yapılandırmayı göstermektedir:

```

    9
    192.168.1.241
  
```

Yapılandırma seçenekleri aşağıdaki şekilde tanımlanmıştır:

- Etiket ``, syslog sunucusuna iletilecek uyarıların minimum önem seviyesini ayarlar. Örnek değer, `9`Wazuh sunucusunun uyarıları yalnızca uyarı seviyesi 'den yüksekse syslog sunucusuna ilettiğini gösterir `9`. Bu seçenek tanımlanmamışsa, Wazuh sunucusu tüm uyarıları syslog sunucusuna iletir.
- Etiket ``, uyarıları iletmek için syslog sunucusunun IP adresini veya ana bilgisayar adını ayarlar. `192.168.1.241`Yapılandırmadaki IP adresi bir örnek olarak kullanılır.

Değişikliklerin her yapılandırmadan sonra uygulanması için Wazuh yönetici hizmetini yeniden başlatın:

**Systemd** ``` systemctl restart wazuh-manager ``` **SysV Başlatma**

``` service wazuh-manager restart ```

Yapılandırma dosyasında blok ``içerisinde birden fazla blok tanımlayarak uyarıları birden fazla syslog sunucusuna iletebilirsiniz .```/var/ossec/etc/ossec.conf` ``` 192.168.1.240 9 192.168.1.241 ``` Yukarıdaki yapılandırmada, - İlk ``blok tüm uyarıları filtrelemeden IP adresine sahip syslog sunucusuna gönderir `192.168.1.240`. - İkinci blok , yalnızca uyarı seviyesi 'den yüksekse ``syslog sunucusuna uyarılar gönderir .`192.168.1.241``9`

#### E-posta Uyarılarını Yapılandırma Wazuh, bir Wazuh sunucusunda oluşturulduğunda e-posta sistemlerine uyarılar göndermek için bir özellik sunar. Kurallar tetiklendiğinde veya özelleştirilmiş ayarlara göre bir veya daha fazla e-posta adresine e-posta uyarıları göndermek üzere yapılandırabilirsiniz. Bu yapılandırma günlük olay raporları ve daha fazlası için size yardımcı olabilir. Kural kimliği `553`tetiklendiğinde Wazuh tarafından gönderilen örnek bir e-posta aşağıda gösterilmektedir: ``` Wazuh Notification. 2024 Apr 29 08:58:30 Received From: wazuh-server->syscheck Rule: 553 fired (level 7) -> "File deleted." Portion of the log(s): File '/var/ossec/test_dir/somefile. txt' deleted Mode: realtime Attributes: - Size: 0 - Permissions: rw-r--r-- - Date: Mon Apr 29 08:46:12 2024 - Inode: 841858 - User: root (0) - Group: root (0) - MD5: d41d8cd98f00b204e9800998ecf8427e - SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 - SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 --END OF NOTIFICATION ```

##### Genel E-posta Seçenekleri Wazuh'un e-posta uyarıları göndermesini yapılandırmak için `/var/ossec/etc/ossec.conf` dosyanın `` bölümündeki e-posta seçeneklerini yapılandırıyoruz . E-posta adresine uyarı göndermek için örnek bir e-posta yapılandırması `me@test.com` aşağıda gösterilmektedir: ``` yes me@test.com mail.test.com wazuh@test.com ... ``` Yukarıdakiler yapılandırıldıktan sonra, `email_alert_level`bir e-postayı tetiklemek için seçeneğin minimum uyarı seviyesine ayarlanması gerekir. Varsayılan olarak, bu seviye olarak ayarlanır `12`. Aşağıdaki örnek yapılandırma, e-posta uyarılarının gönderileceği minimum seviyeyi belirler `10`: ``` 10 ... ``` Değişikliklerin her yapılandırmadan sonra uygulanması için Wazuh yönetici hizmetini yeniden başlatın: **Systemd**

Uyarı: Wazuh SMTP kimlik doğrulamasını işlemez. E-posta servisiniz bunu kullanıyorsa, [bir sunucu rölesi yapılandırmanız](https://documentation.wazuh.com/current/user-manual/manager/alert-management.html#smtp-server-with-authentication) gerekir .

##### Ayrıntılı E-posta Seçenekleri Wazuh, e-posta uyarıları için ayrıntılı yapılandırma seçeneklerine izin verir. Bu ayar, dosyanın bölümünde yapılandırılan [genel e-posta seçeneklerini](https://acikkaynak.lastguard.com.tr/books/kullanim-kilavuzu/page/alarm-yonetimi) genişletir. Ayrıntılı e-posta yapılandırmaları, dosyanın etiketi içinde tanımlanır .```/var/ossec/etc/ossec.conf````/var/ossec/etc/ossec.conf`

Uyarı: Bölümde yapılandırılan minimum önem düzeyi ``bu ayrıntılı e-posta yapılandırmalarına uygulanır ve bunları geçersiz kılar. Örneğin, Wazuh yöneticisini kural tetiklendiğinde bir e-posta gönderecek şekilde yapılandırırsanız `526`ancak kuralın düzeyi bölümde belirtilen minimum düzeyden düşükse ``uyarı gönderilmez.

##### Seviyeye Göre E-posta Uyarısı Bu seçenek, Wazuh yöneticisini, önem düzeyi ayarlanan değere eşit veya daha büyük olduğunda e-posta uyarıları gönderecek şekilde yapılandırır. Bu seçenek aşağıdaki şekilde yapılandırılır: ``` you@example.com 4 ``` `you@example.com`Bu yapılandırma, Wazuh yöneticisinin , seviyesi eşit veya daha büyük olan herhangi bir kural tetiklendiğinde bir e-posta göndermesine olanak tanır `4`.

Not: Buradaki önem seviyesi `` bölümde yapılandırılan `email_alert_level` önem seviyesinden daha düşükse , e-posta gönderilmeyecektir.

##### Etkinlik Lokasyonuna Göre E-posta Uyarısı Bu `event_location`seçenek, olayın kaynaklandığı konuma göre e-posta uyarıları göndermeyi içerir. Oluşturulan uyarı, e-posta yoluyla iletilmek üzere olay konumuyla eşleşmelidir. Bu seçenek için izin verilen değerler Wazuh aracı adı, ana bilgisayar adı, IP adresi veya günlük dosyasıdır. Bu seçenek aşağıdaki şekilde yapılandırılır: ``` you@example.com server1 ``` `you@example.com`Bu yapılandırma, Wazuh yöneticisinin uyarıları oluşturan olayların Wazuh adlı aracıda kaynaklandığı zaman adresine bir e-posta göndermesine olanak tanır `server1`.

##### Kural Kimliğine Dayalı E-posta Bu `rule_id`seçenek, kural kimliklerine dayalı uyarı e-postaları göndermek için kullanılır. Bu seçenek, yalnızca belirli tanımlanmış kurallar tetiklendiğinde e-postaların gönderilmesini sınırlar. Bu seçenek aşağıdaki şekilde yapılandırılır: ``` you@example.com 515, 516 ``` Bu yapılandırma , Wazuh yöneticisinin `you@example.com`kurallar tetiklendiğinde bir e-posta göndermesine olanak tanır .`515``516`

##### Kural Grubuna Dayalı E-posta Seçenek `group`, uyarıların ait olduğu bir veya daha fazla kural grubuna göre e-posta göndermek üzere yapılandırılabilir. Bu seçenek aşağıdaki şekilde yapılandırılır: ``` you@example.com pci_dss_10.6.1, ``` `you@example.com`Bu yapılandırma, Wazuh yöneticisinin, grubun parçası olan herhangi bir kural `pci_dss_10.6.1`herhangi bir Wazuh izlenen uç noktasında tetiklendiğinde bir e-posta göndermesine olanak tanır.

##### Birden Fazla Seçenek ve Birden Fazla E-posta

E-posta uyarıları, her biri benzersiz kriterlere sahip birden fazla e-posta adresine gönderilebilir.

Aşağıdaki örnek yapılandırma, birden fazla kritere sahip e-posta uyarılarının birden fazla e-posta adresine nasıl gönderileceğini gösterir:

```

    alice@test.com
    endpoint1|endpoint2
  
    is@test.com
    /log/secure$
  
    bob@test.com
    192.168.
  
    david@test.com
    12
  
```

Bu yapılandırma şunları gönderir:

- `alice@test.com`Herhangi bir uyarı tetiklendiğinde `endpoint1`e -posta adresinize gönderilecek `endpoint2`.
- `is@test.com`Uyarıların dosyadan gelip gelmediğine dair bir e-posta `/log/secure`.
- `bob@test.com`Uyarıların ağdaki herhangi bir uç noktadan gelip gelmediğine dair bir e-posta `192.168.0.0/24`.
- `david@test.com`Uyarıların seviyesi eşit veya daha yüksekse e-posta gönderilecektir `12`.

#### Bir Uyarıyı E-postayla İletmeyi Zorla E-posta yoluyla uyarı göndermek için minimum önem seviyesi `12`varsayılan olarak. Wazuh yöneticisini yapılandırılmış minimum önem seviyesinin altında bir e-posta uyarısı göndermek üzere yapılandırabilirsiniz. Bunu yapmak için aşağıdaki [kural](https://documentation.wazuh.com/current/user-manual/ruleset/ruleset-xml-syntax/rules.html#rules-options) seçeneklerinden birini kullanmanız gerekir: - `alert_by_email`her zaman e-posta ile uyarmak. - `no_email_alert`asla e-posta yoluyla uyarıda bulunmayın. - `no_log`Bu uyarının kaydedilmemesi için. Örneğin, aşağıdaki kural tanımı, `502`minimum önem düzeyi ne olarak ayarlanmış olursa olsun, kural her tetiklendiğinde bir e-posta gönderir: ``` 500 alert_by_email Ossec started Ossec server started. ```

#### Kimlik Doğrulamalı SMTP Sunucusu Wazuh e-posta uyarıları, Gmail gibi kimlik doğrulaması olan SMTP sunucularını desteklemez. Ancak, bu e-postaları Postfix gibi bir sunucu rölesi aracılığıyla gönderebilirsiniz. Postfix'i Gmail ile yapılandırmak için aşağıdaki adımları röle sunucunuzda gerçekleştirin. 1. Gerekli paketleri yüklemek için bu komutu çalıştırın. Posta sunucusu yapılandırma türü hakkında sorulursa *Yapılandırma yok'u seçin.* **CentOS** ``` yum update && yum install postfix mailx cyrus-sasl cyrus-sasl-plain ``` Ubuntu** ``` apt-get update && apt-get install postfix mailutils libsasl2-2 ca-certificates libsasl2-modules ```

2. Postfix'i yapılandırmak için bu satırları dosyaya ekleyin `/etc/postfix/main.cf`. Eksikse dosyayı oluşturun. **CentOS** ``` relayhost = [smtp.gmail.com]:587 smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_tls_CAfile = /etc/ssl/certs/ca-bundle.crt smtp_use_tls = yes ``` **Ubuntu**

``` relayhost = [smtp.gmail.com]:587 smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_use_tls = yes smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination ```

3. Gönderenin kimlik bilgilerini dosyaya ayarlayın `/etc/postfix/sasl_passwd`ve Postfix için bir veritabanı dosyası oluşturun. ``ve ``değişkenlerini sırasıyla gönderenin e-posta adresi kullanıcı adı ve parolasıyla değiştirin. ``` echo [smtp.gmail.com]:587 @gmail.com: > /etc/postfix/sasl_passwd postmap /etc/postfix/sasl_passwd ```

Not: [Şifre bir Uygulama Şifresi](https://security.google.com/settings/security/apppasswords) olmalıdır . Uygulama Şifreleri yalnızca [2 Adımlı Doğrulama özelliği](https://myaccount.google.com/signinoptions/two-step-verification) açık olan hesaplarda kullanılabilir.

4. Parola DB dosyanızı yalnızca `root`kullanıcının tam okuma ve yazma erişimine sahip olması için güvenceye alın. Bunun nedeni `/etc/postfix/sasl_passwd`ve `/etc/postfix/sasl_passwd.db`dosyalarının düz metin kimlik bilgilerine sahip olmasıdır. ``` chown root:root /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db chmod 0600 /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db ``` 5. Yapılandırma değişikliklerini gerçekleştirmek için Postfix'i yeniden başlatın: **Systemd** ``` systemctl restart postfix ``` **SysV Başlatma** ``` service postfix restart ```

6. Yapılandırmayı test etmek için aşağıdaki komutu çalıştırın: ``` echo "Test mail from postfix" | mail -s "Test Postfix" -r "" ``` Yer değiştirmek: - ``Yapılandırılmış e-posta adresinizle. - ``Alıcının e-posta adresiyle birlikte. Komut, alıcının e-postasına `Test Postfix` konu ve `Test mail from postfix` gövdeyi içeren bir e-posta gönderir. If you get the error message `fatal: tls_fprint: error computing md5 message digest` in the `/var/log/maillog` file, run the following commands to switch Postfix from the default `MD5` hashing function to `SHA-256`: ``` # ``` `/var/log/maillog` dosyasında `fatal: tls_fprint: error computing md5 message digest` hata mesajı alırsanız , Postfix'i varsayılan `MD5` karma işlevinden `SHA-256`'ya geçirmek için aşağıdaki komutları çalıştırın : ``` postconf -e smtp_tls_fingerprint_digest=sha256 postconf -e smtpd_tls_fingerprint_digest=sha256 ``` 7. ``Wazuh sunucusunun `/var/ossec/etc/ossec.conf`dosyasının etiketi içerisinde e-posta bildirimlerini aşağıdaki şekilde yapılandırın: ``` yes localhost @gmail.com ``` Nerede: - ``e-posta uyarılarının kullanımını değiştirir. - ``uyarıları iletmek için kullanılacak SMTP sunucusunu tanımlar. - ``yapılandırılmış gönderenin e-posta adresini belirtir. ``E-posta adresinizin yapılandırılmış kullanıcı adınızla değiştirin. - ``uyarıların alıcısının e-posta adresini belirtir. ``Alıcının e-posta adresiyle değiştirin. 8. Değişiklikleri uygulamak için Wazuh yöneticisini yeniden başlatın: **Systemd** ``` systemctl restart wazuh-manager ``` **SysV Başlatma** ``` service wazuh-manager restart ```

#### Veritabanı Çıktısını Yapılandırma Wazuh, uyarıları veritabanı sistemlerine iletmeyi destekler. Wazuh yöneticisini, oluşturulan uyarıları bir veritabanına çıktı olarak verecek şekilde yapılandırabilirsiniz. Bu yapılandırmayı elde etmek için, Wazuh yöneticisini kullanmak istediğiniz veritabanı türündeki kaynaklardan derlemelisiniz. Wazuh şu anda MySQL ve PostgreSQL veritabanlarını destekler.

Not: Bu kılavuz, MySQL veya PostgreSQL'i zaten kurduğunuzu ve kullanıcıları ve veritabanlarını nasıl oluşturacağınızı bildiğinizi varsayar.

#### Ön Koşullar Yapılandırmak istediğiniz veritabanı sistemine ait geliştirme kütüphanelerini kurmanız ve Wazuh yöneticisini gerekli veritabanı sistemini kullanacak şekilde derlemeniz gerekmektedir. 1. Veritabanı sistemi için geliştirme kütüphanelerini yükleyin: - **MySQL için** : **Yum** ``` yum install mysql-devel ``` **APT**

``` apt-get install libmysqlclient-dev ```

- **PostgreSQL için** : **Yum** ``` yum install postgresql-devel ``` **APT**

``` apt-get install libpq-dev ```

2. Bağımlılıkları, [bağımlılıkları yükleme](https://acikkaynak.lastguard.com.tr/books/alternatif-kurulumlar/chapter/kaynaklardan-kurulum) bölümünde açıklandığı şekilde yükleyin. 3. Wazuh'un son sürümünü indirin ve çıkarın: ``` curl -Ls https://github.com/wazuh/wazuh/archive/v4.9.2.tar.gz | tar zx ``` 4. Wazuh dizinine geçmek için aşağıdaki komutları çalıştırın ve kullanılacak veritabanı türünü belirtin, `` değişkeni `mysql` veya `pgsql` ile değiştirin : ``` cd wazuh-4.9.2/src make deps && make TARGET=server DATABASE= ```

Not: Sistem özelliklerinize bağlı olarak derleme işlemi biraz zaman alabilir.

5. Betiği çalıştırın `install.sh`. Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbaz görüntüler: ``` cd .. ./install.sh ``` 6. Script size ne tür bir kurulum istediğinizi sorduğunda `manager`Wazuh yöneticisini kurmak için şunu yazın: ``` 1- What kind of installation do you want (manager, agent, local, hybrid, or help)? manager ```

Not: Kurulum sırasında kurulum yoluna karar verebilirsiniz. `install.sh` dosyasını çalıştırın ve dili seçin, kurulum modunu `manager` olarak ayarlayın, ardından kurulum yolunu ayarlayın (`Choose where to install Wazuh [/var/ossec]``/var/ossec`). Varsayılan kurulum yolu /var/ossec'tir. Yaygın olarak kullanılan özel bir yol `/opt` olabilir.

Uyarı: Varsayılandan farklı bir yol seçerseniz kritik bir kurulum dizini seçmemeye son derece dikkat edin. Dizin zaten mevcutsa, yükleyici dizini silmenizi veya Wazuh'u içine kurarak devam etmenizi isteyecektir.

7. Kurulum programı kurulumun sonunda Wazuh'u başlatmak isteyip istemediğinizi sorar. Eğer istemezseniz, aşağıdaki komutla daha sonra başlatabilirsiniz: **Systemd** ``` systemctl restart wazuh-manager ``` **SysV Başlatma** ``` service wazuh-manager restart ```

#### Veritabanı Yapılandırması Veritabanı sisteminize göre yeni bir veritabanı oluşturun, veritabanı kullanıcısını ayarlayın ve `src/os_dbd`kaynak kodun bulunduğu dizinde bulunan şemayı aşağıdaki komutlarla ekleyin: - **MySQL için** : ``` mysql -u root -p ``` ``` mysql> CREATE DATABASE Alerts_DB; Query OK, 1 row affected (2.34 sec) mysql> CREATE USER ''@'' IDENTIFIED BY ''; Query OK, 0 rows affected (0.00 sec) mysql> GRANT INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on Alerts_DB.* to ''@''; Query OK, 0 rows affected (0.00 sec) mysql> FLUSH PRIVILEGES; Query OK, 0 rows affected (0.00 sec) mysql> quit; ``` Yukarıdaki komutlarda aşağıdaki değişkenleri değiştirin: - ``Veritabanı sunucusu için oluşturmak istediğiniz kullanıcıyla. - ``veritabanı sunucusunun IP adresi ile. - ``veritabanı sunucusuna erişmek için kullanıcı şifresi ile. ``` mysql -u root -p Alerts_DB < src/os_dbd/mysql.schema ``` - **PostgreSQL için** : ``` sudo -u postgres createuser -P sudo -u postgres createdb -O Alerts_DB psql -U -d Alerts_DB -f src/os_dbd/postgresql.schema ``` ``Veritabanı sunucusu için oluşturmak istediğiniz kullanıcıyla değiştirin .

Not: Kullanıcıyı oluştururken iki kez parola girmeniz istenecektir. Wazuh yöneticisini yapılandırırken gerekli olduğundan bu parolayı not edin.

#### Wazuh Yöneticisi Yapılandırması Wazuh yöneticisini veritabanı sistemine uyarılar ve diğer verileri gönderecek şekilde yapılandırmak için aşağıdaki adımları izleyin. 1. Wazuh sunucusundaki dosya ``bloğunun içine aşağıdaki kod bloğunu ekleyin :`/var/ossec/etc/ossec.conf` - **MySQL için** : ``` Alerts_DB mysql ``` - **PostgreSQL için** : ``` Alerts_DB postgresql ``` Nerede: - ``veritabanı sunucusunun IP adresini belirtir. ``Veritabanı sunucusunun IP adresini değiştirin. - ``veritabanına erişecek kullanıcıyı belirtir. ``Yukarıda oluşturulan veritabanı kullanıcısıyla değiştirin. - ``veritabanına erişmek için kullanıcı parolasını belirtir. ``Yukarıda oluşturulan kullanıcı parolasıyla değiştirin. - ``uyarıların depolanacağı veritabanının adını belirtir. Örneğin, `Alerts_DB`yukarıdaki yapılandırmada belirtildiği gibi. - ``veritabanının türünü belirtir (MySQL veya PostgreSQL). İzin verilen değerler `mysql`veya `pgsql`. 2. Değişiklikleri uygulamak için Wazuh yönetici hizmetini yeniden başlatın: **Systemd** ``` systemctl restart wazuh-manager ``` **SysV Başlatma** ``` service wazuh-manager restart ```

3. Wazuh yöneticisinin veritabanına bağlı olduğunu doğrulamak için aşağıdaki komutu çalıştırın: ``` grep wazuh-dbd /var/ossec/logs/ossec.log ```

**Output**

``` 2024/06/24 14:49:11 wazuh-dbd: INFO: Connected to database 'Alerts_DB' at '127.0.0.1'. ``` Veritabanı artık Wazuh yöneticisinden veri almaya başlayacaktır.