Alarm Yönetimi

/var/ossec/logs/alerts/alerts.logUyarılar, Wazuh aracılarından ve aracısız aygıtlardan alınan olayları işledikten sonra Wazuh yöneticisi tarafından oluşturulan bildirimlerdir. Varsayılan olarak, uyarılar ve dosyalarında saklanır /var/ossec/logs/alerts/alerts.json.

Varsayılan olarak, Wazuh sunucusu, oluşturulan uyarıları dizinleme için Wazuh dizinleyicisine iletmek için Filebeat'i kullanır. Ek olarak, Wazuh yöneticisini syslog sunucuları, e-posta sistemleri ve veritabanlarını içeren diğer sistemlere uyarıları iletecek şekilde yapılandırabilirsiniz.

Uyarı eşiğiBu başlığa kalıcı bağlantı

Uyarı eşiği, bir uyarının tetiklenmesi için aşılması gereken en düşük önem seviyesidir. Wazuh yöneticisi, kurallar kümesindeki eşleşen kurala göre izlenen uç noktalardan gelen her olaya bir önem seviyesi atar. Varsayılan olarak, yalnızca önem seviyesi 3veya daha yüksek olan uyarıları tetikler.

YapılandırmaBu başlığa kalıcı bağlantı

/var/ossec/etc/ossec.confUyarı eşiği , Wazuh sunucusundaki yapılandırma dosyasında XML etiketi içerisinde yapılandırılır <alerts>.

Aşağıdaki kod bloğu, olaylar ve uyarıların e-posta yoluyla iletilmesi için varsayılan uyarı eşiği yapılandırmasını gösterir:

<ossec_config>
  <alerts>
    <log_alert_level>3</log_alert_level>
    <email_alert_level>12</email_alert_level>
  </alerts>
</ossec_config>

Nerede:

Etiket , ve/veya dosyada <log_alert_level>depolanan uyarıları tetiklemek için minimum önem seviyesini ayarlar . Varsayılan değer 'dir . İzin verilen değer, kurallar sınıflandırma kılavuzunda belirtildiği gibi ila arasında herhangi bir tam sayıdır ./var/ossec/logs/alerts/alerts.log/var/ossec/logs/alerts/alerts.json3116

Etiket <email_alert_level>, bir uyarının e-posta bildirimi oluşturması için minimum önem seviyesini ayarlar. Varsayılan değer 'dir 12. İzin verilen değer, 1'den 'e kadar herhangi bir tam sayıdır 16. Bu ayar, ayrıntılı e-posta uyarısı yapılandırmasını geçersiz kılar. Ancak, bireysel kurallar içindeki alert_by_email seçenek , bir e-posta uyarısını tetiklemek için hem genel hem de ayrıntılı uyarı düzeyi eşiklerini geçersiz kılabilir.

Uyarı eşiği yapılandırma hakkında ayrıntılı bilgi için uyarı başvuru kılavuzuna bakın.

Not

Yapılandırma dosyasında herhangi bir değişiklik yaptığınızda Wazuh yöneticisini yeniden başlatın. Bu eylem değişikliklerin etkili olmasını sağlar.

Aşağıdaki komutla komut satırı arayüzü üzerinden Wazuh yöneticisini yeniden başlatın:

# systemctl restart wazuh-manager

Uyarıları iletmeBu başlığa kalıcı bağlantı

Wazuh yöneticisi, dizinleme ve analiz yetenekleri için uyarıları varsayılan olarak Wazuh dizinleyicisine iletir. Ayrıca, Wazuh yöneticisi, analiz ve yedekleme için uyarıları yapılandırma ve diğer sistemlere iletme yeteneği sağlar.

Syslog çıktısını yapılandırmaBu başlığa kalıcı bağlantı

Syslog_output seçeneğini kullanarak Wazuh sunucusunu bir syslog sunucusuna uyarılar gönderecek şekilde yapılandırabilirsiniz . Uyarıları bir syslog sunucusuna iletmek, merkezi izleme ve özel raporlama için yararlı olabilir.

YapılandırmaBu başlığa kalıcı bağlantı

/var/ossec/etc/ossec.confSyslog çıktısı, blok içindeki Wazuh sunucu yapılandırma dosyasında yapılandırılır . Varsayılan olarak, Wazuh yöneticisi uyarıları UDP protokolü üzerinden <ossec_config>port kullanarak syslog sunucularına iletir .514

Aşağıdaki kod bloğu, uyarıları bir syslog sunucusuna iletmek için örnek bir yapılandırmayı göstermektedir:

<ossec_config>
  <syslog_output>
    <level>9</level>
    <server>192.168.1.241</server>
  </syslog_output>
</ossec_config>

Yapılandırma seçenekleri aşağıdaki şekilde tanımlanmıştır:

Etiket <level>, syslog sunucusuna iletilecek uyarıların minimum önem seviyesini ayarlar. Örnek değer, 9Wazuh sunucusunun uyarıları yalnızca uyarı seviyesi 'den yüksekse syslog sunucusuna ilettiğini gösterir 9. Bu seçenek tanımlanmamışsa, Wazuh sunucusu tüm uyarıları syslog sunucusuna iletir.

Etiket <server>, uyarıları iletmek için syslog sunucusunun IP adresini veya ana bilgisayar adını ayarlar. 192.168.1.241Yapılandırmadaki IP adresi bir örnek olarak kullanılır.

Kullanılabilir yapılandırma seçenekleri hakkında daha fazla bilgiyi syslog_output başvuru kılavuzunda bulabilirsiniz .

Değişikliklerin her yapılandırmadan sonra uygulanması için Wazuh yönetici hizmetini yeniden başlatın:

# systemctl restart wazuh-manager

Yapılandırma dosyasında blok <syslog_output>içerisinde birden fazla blok tanımlayarak uyarıları birden fazla syslog sunucusuna iletebilirsiniz .<ossec_config>/var/ossec/etc/ossec.conf

<ossec_config>
  <syslog_output>
    <server>192.168.1.240</server>
  </syslog_output>

  <syslog_output>
    <level>9</level>
    <server>192.168.1.241</server>
  </syslog_output>
</ossec_config>

Yukarıdaki yapılandırmada,

İlk <syslog_output>blok tüm uyarıları filtrelemeden IP adresine sahip syslog sunucusuna gönderir 192.168.1.240.

İkinci blok , yalnızca uyarı seviyesi 'den yüksekse <syslog_output>syslog sunucusuna uyarılar gönderir .192.168.1.2419

E-posta uyarılarını yapılandırmaBu başlığa kalıcı bağlantı

Wazuh, bir Wazuh sunucusunda oluşturulduğunda e-posta sistemlerine uyarılar göndermek için bir özellik sunar. Kurallar tetiklendiğinde veya özelleştirilmiş ayarlara göre bir veya daha fazla e-posta adresine e-posta uyarıları göndermek üzere yapılandırabilirsiniz. Bu yapılandırma günlük olay raporları ve daha fazlası için size yardımcı olabilir.

Kural kimliği 553tetiklendiğinde Wazuh tarafından gönderilen örnek bir e-posta aşağıda gösterilmektedir:

  Wazuh Notification.
  2024 Apr 29 08:58:30

  Received From: wazuh-server->syscheck
  Rule: 553 fired (level 7) -> "File deleted."
  Portion of the log(s):

  File '/var/ossec/test_dir/somefile.
  txt' deleted
  Mode: realtime

  Attributes:
   - Size: 0
   - Permissions: rw-r--r--
   - Date: Mon Apr 29 08:46:12 2024
   - Inode: 841858
   - User: root (0)
   - Group: root (0)
   - MD5: d41d8cd98f00b204e9800998ecf8427e
   - SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
   - SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855


--END OF NOTIFICATION

Genel e-posta seçenekleriBu başlığa kalıcı bağlantı

<global>Wazuh'un e-posta uyarıları göndermesini yapılandırmak için dosyanın bölümündeki e-posta seçeneklerini yapılandırıyoruz /var/ossec/etc/ossec.conf.

E-posta adresine uyarı göndermek için örnek bir e-posta yapılandırması [email protected]aşağıda gösterilmektedir:

<ossec_config>
  <global>
    <email_notification>yes</email_notification>
    <email_to>[email protected]</email_to>
    <smtp_server>mail.test.com</smtp_server>
    <email_from>[email protected]</email_from>
  </global>
  ...
</ossec_config>

Yukarıdakiler yapılandırıldıktan sonra, email_alert_levelbir e-postayı tetiklemek için seçeneğin minimum uyarı seviyesine ayarlanması gerekir. Varsayılan olarak, bu seviye olarak ayarlanır 12.

Aşağıdaki örnek yapılandırma, e-posta uyarılarının gönderileceği minimum seviyeyi belirler 10:

<ossec_config>
  <alerts>
    <email_alert_level>10</email_alert_level>
  </alerts>
  ...
</ossec_config>

Kullanılabilir e-posta yapılandırma seçenekleri hakkında daha fazla bilgi için genel ve uyarı başvuru kılavuzlarına bakın.

Değişikliklerin her yapılandırmadan sonra uygulanması için Wazuh yönetici hizmetini yeniden başlatın:

# systemctl restart wazuh-manager

Uyarı

Wazuh SMTP kimlik doğrulamasını işlemez. E-posta servisiniz bunu kullanıyorsa, bir sunucu rölesi yapılandırmanız gerekir .

Ayrıntılı e-posta seçenekleriBu başlığa kalıcı bağlantı

Wazuh, e-posta uyarıları için ayrıntılı yapılandırma seçeneklerine izin verir. Bu ayar, dosyanın bölümünde yapılandırılan genel e-posta seçeneklerini genişletir. Ayrıntılı e-posta yapılandırmaları, dosyanın etiketi içinde tanımlanır .<global>/var/ossec/etc/ossec.conf<email_alerts>/var/ossec/etc/ossec.conf

Aşağıda e-posta yoluyla uyarı göndermek için bazı örnek ayrıntılı yapılandırmalar bulunmaktadır. Daha fazla bilgi için email_alerts bölümüne bakın.

Uyarı

Bölümde yapılandırılan minimum önem düzeyi <alerts>bu ayrıntılı e-posta yapılandırmalarına uygulanır ve bunları geçersiz kılar. Örneğin, Wazuh yöneticisini kural tetiklendiğinde bir e-posta gönderecek şekilde yapılandırırsanız 526ancak kuralın düzeyi bölümde belirtilen minimum düzeyden düşükse <alerts>uyarı gönderilmez.

Seviyeye göre e-posta uyarısıBu başlığa kalıcı bağlantı

Bu seçenek, Wazuh yöneticisini, önem düzeyi ayarlanan değere eşit veya daha büyük olduğunda e-posta uyarıları gönderecek şekilde yapılandırır. Bu seçenek aşağıdaki şekilde yapılandırılır:

<email_alerts>
  <email_to>[email protected]</email_to>
  <level>4</level>
  <do_not_delay/>
</email_alerts>

[email protected]Bu yapılandırma, Wazuh yöneticisinin , seviyesi eşit veya daha büyük olan herhangi bir kural tetiklendiğinde bir e-posta göndermesine olanak tanır 4.

Not

email_alert_levelBuradaki önem seviyesi, bölümde yapılandırılan önem seviyesinden daha düşükse <alerts>, e-posta gönderilmeyecektir.

Etkinlik lokasyonuna göre e-posta uyarısıBu başlığa kalıcı bağlantı

Bu event_locationseçenek, olayın kaynaklandığı konuma göre e-posta uyarıları göndermeyi içerir. Oluşturulan uyarı, e-posta yoluyla iletilmek üzere olay konumuyla eşleşmelidir. Bu seçenek için izin verilen değerler Wazuh aracı adı, ana bilgisayar adı, IP adresi veya günlük dosyasıdır.

Bu seçenek aşağıdaki şekilde yapılandırılır:

<email_alerts>
  <email_to>[email protected]</email_to>
  <event_location>server1</event_location>
  <do_not_delay/>
</email_alerts>

[email protected]Bu yapılandırma, Wazuh yöneticisinin uyarıları oluşturan olayların Wazuh adlı aracıda kaynaklandığı zaman adresine bir e-posta göndermesine olanak tanır server1.

event_location seçeneği hakkında daha fazla bilgi edinmek için referans kılavuzuna bakın.

Kural kimliğine dayalı e-postaBu başlığa kalıcı bağlantı

Bu rule_idseçenek, kural kimliklerine dayalı uyarı e-postaları göndermek için kullanılır. Bu seçenek, yalnızca belirli tanımlanmış kurallar tetiklendiğinde e-postaların gönderilmesini sınırlar.

Bu seçenek aşağıdaki şekilde yapılandırılır:

<email_alerts>
  <email_to>[email protected]</email_to>
  <rule_id>515, 516</rule_id>
  <do_not_delay/>
</email_alerts>

Bu yapılandırma , Wazuh yöneticisinin [email protected]kurallar tetiklendiğinde bir e-posta göndermesine olanak tanır .515516

Başvuru kılavuzunda rule_id seçeneği hakkında daha fazla bilgi edinin .

Kural grubuna dayalı e-postaBu başlığa kalıcı bağlantı

Seçenek group, uyarıların ait olduğu bir veya daha fazla kural grubuna göre e-posta göndermek üzere yapılandırılabilir.

Bu seçenek aşağıdaki şekilde yapılandırılır:

<email_alerts>
  <email_to>[email protected]</email_to>
  <group>pci_dss_10.6.1,</group>
</email_alerts>

[email protected]Bu yapılandırma, Wazuh yöneticisinin, grubun parçası olan herhangi bir kural pci_dss_10.6.1herhangi bir Wazuh izlenen uç noktasında tetiklendiğinde bir e-posta göndermesine olanak tanır .

Grup seçeneği hakkında daha fazla bilgiyi referans kılavuzunda bulabilirsiniz.

Birden fazla seçenek ve birden fazla e-postaBu başlığa kalıcı bağlantı

E-posta uyarıları, her biri benzersiz kriterlere sahip birden fazla e-posta adresine gönderilebilir.

Aşağıdaki örnek yapılandırma, birden fazla kritere sahip e-posta uyarılarının birden fazla e-posta adresine nasıl gönderileceğini gösterir:

<ossec_config>
  <email_alerts>
    <email_to>[email protected]</email_to>
    <event_location>endpoint1|endpoint2</event_location>
  </email_alerts>

  <email_alerts>
    <email_to>[email protected]</email_to>
    <event_location>/log/secure$</event_location>
  </email_alerts>

  <email_alerts>
    <email_to>[email protected]</email_to>
    <event_location>192.168.</event_location>
  </email_alerts>

  <email_alerts>
    <email_to>[email protected]</email_to>
    <level>12</level>
  </email_alerts>
</ossec_config>

Bu yapılandırma şunları gönderir:

[email protected]Herhangi bir uyarı tetiklendiğinde endpoint1e -posta adresinize gönderilecek endpoint2.

[email protected]Uyarıların dosyadan gelip gelmediğine dair bir e-posta /log/secure.

[email protected]Uyarıların ağdaki herhangi bir uç noktadan gelip gelmediğine dair bir e-posta 192.168.0.0/24.

[email protected]Uyarıların seviyesi eşit veya daha yüksekse e-posta gönderilecektir 12.

Bir uyarıyı e-postayla iletmeyi zorlaBu başlığa kalıcı bağlantı

E-posta yoluyla uyarı göndermek için minimum önem seviyesi 12varsayılan olarak. Wazuh yöneticisini yapılandırılmış minimum önem seviyesinin altında bir e-posta uyarısı göndermek üzere yapılandırabilirsiniz. Bunu yapmak için aşağıdaki kural seçeneklerinden birini kullanmanız gerekir:

alert_by_emailher zaman e-posta ile uyarmak.

no_email_alertasla e-posta yoluyla uyarıda bulunmayın.

no_logBu uyarının kaydedilmemesi için.

Örneğin, aşağıdaki kural tanımı, 502minimum önem düzeyi ne olarak ayarlanmış olursa olsun, kural her tetiklendiğinde bir e-posta gönderir:

<rule id="502" level="3">
  <if_sid>500</if_sid>
  <options>alert_by_email</options>
  <match>Ossec started</match>
  <description>Ossec server started.</description>
</rule>

Kimlik doğrulamalı SMTP sunucusuBu başlığa kalıcı bağlantı

Wazuh e-posta uyarıları, Gmail gibi kimlik doğrulaması olan SMTP sunucularını desteklemez. Ancak, bu e-postaları Postfix gibi bir sunucu rölesi aracılığıyla gönderebilirsiniz.

Postfix'i Gmail ile yapılandırmak için aşağıdaki adımları röle sunucunuzda gerçekleştirin.

Gerekli paketleri yüklemek için bu komutu çalıştırın. Posta sunucusu yapılandırma türü hakkında sorulursa Yapılandırma yok'u seçin.
```
# yum update && yum install postfix mailx cyrus-sasl cyrus-sasl-plain
```

Postfix'i yapılandırmak için bu satırları dosyaya ekleyin /etc/postfix/main.cf. Eksikse dosyayı oluşturun.

relayhost = [smtp.gmail.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CAfile = /etc/ssl/certs/ca-bundle.crt
smtp_use_tls = yes

Gönderenin kimlik bilgilerini dosyaya ayarlayın /etc/postfix/sasl_passwdve Postfix için bir veritabanı dosyası oluşturun. <USERNAME>ve <PASSWORD>değişkenlerini sırasıyla gönderenin e-posta adresi kullanıcı adı ve parolasıyla değiştirin.
```
# echo [smtp.gmail.com]:587 <USERNAME>@gmail.com:<PASSWORD> > /etc/postfix/sasl_passwd
# postmap /etc/postfix/sasl_passwd
```
Not

Şifre bir Uygulama Şifresi olmalıdır . Uygulama Şifreleri yalnızca 2 Adımlı Doğrulama özelliği açık olan hesaplarda kullanılabilir .

Parola DB dosyanızı yalnızca rootkullanıcının tam okuma ve yazma erişimine sahip olması için güvenceye alın. Bunun nedeni /etc/postfix/sasl_passwdve /etc/postfix/sasl_passwd.dbdosyalarının düz metin kimlik bilgilerine sahip olmasıdır.
```
# chown root:root /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db
# chmod 0600 /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db
```

Yapılandırma değişikliklerini gerçekleştirmek için Postfix'i yeniden başlatın:
```
# systemctl restart postfix
```

Yapılandırmayı test etmek için aşağıdaki komutu çalıştırın:
```
# echo "Test mail from postfix" | mail -s "Test Postfix" -r "<CONFIGURED_EMAIL>" <RECEIVER_EMAIL>
```
Yer değiştirmek:
- <CONFIGURED_EMAIL>Yapılandırılmış e-posta adresinizle.
- <RECEIVER_EMAIL>Alıcının e-posta adresiyle birlikte.
Komut, alıcının e-postasına konu ve gövdeyi içeren bir e-posta gönderir .Test PostfixTest mail from postfix

Dosyada hata mesajı alırsanız , Postfix'i varsayılan karma işlevinden şuna geçirmek için aşağıdaki komutları çalıştırın :fatal: tls_fprint: error computing md5 message digest/var/log/maillogMD5SHA-256
```
# postconf -e smtp_tls_fingerprint_digest=sha256
# postconf -e smtpd_tls_fingerprint_digest=sha256
```

<global>Wazuh sunucusunun /var/ossec/etc/ossec.confdosyasının etiketi içerisinde e-posta bildirimlerini aşağıdaki şekilde yapılandırın :
```
<global>
  <email_notification>yes</email_notification>
  <smtp_server>localhost</smtp_server>
  <email_from><USERNAME>@gmail.com</email_from>
  <email_to><RECEIVER_EMAIL></email_to>
</global>
```
Nerede:
- <email_notification>e-posta uyarılarının kullanımını değiştirir.
- <smtp_server>uyarıları iletmek için kullanılacak SMTP sunucusunu tanımlar.
- <email_from>yapılandırılmış gönderenin e-posta adresini belirtir. <USERNAME>E-posta adresinizin yapılandırılmış kullanıcı adınızla değiştirin.
- <email_to>uyarıların alıcısının e-posta adresini belirtir. <RECEIVER_EMAIL>Alıcının e-posta adresiyle değiştirin.

Değişiklikleri uygulamak için Wazuh yöneticisini yeniden başlatın:
```
# systemctl restart wazuh-manager
```

Veritabanı çıktısını yapılandırmaBu başlığa kalıcı bağlantı

Wazuh, uyarıları veritabanı sistemlerine iletmeyi destekler. Wazuh yöneticisini, oluşturulan uyarıları bir veritabanına çıktı olarak verecek şekilde yapılandırabilirsiniz. Bu yapılandırmayı elde etmek için, Wazuh yöneticisini kullanmak istediğiniz veritabanı türündeki kaynaklardan derlemelisiniz. Wazuh şu anda MySQL ve PostgreSQL veritabanlarını destekler.

Not

Bu kılavuz, MySQL veya PostgreSQL'i zaten kurduğunuzu ve kullanıcıları ve veritabanlarını nasıl oluşturacağınızı bildiğinizi varsayar.

Ön koşullarBu başlığa kalıcı bağlantı

Yapılandırmak istediğiniz veritabanı sistemine ait geliştirme kütüphanelerini kurmanız ve Wazuh yöneticisini gerekli veritabanı sistemini kullanacak şekilde derlemeniz gerekmektedir.

Veritabanı sistemi için geliştirme kütüphanelerini yükleyin:
- MySQL için :
```
# yum install mysql-devel
```
- PostgreSQL için :
```
# yum install postgresql-devel
```

Bağımlılıkları, bağımlılıkları yükleme bölümünde açıklandığı şekilde yükleyin.

Wazuh'un son sürümünü indirin ve çıkarın:

# curl -Ls https://github.com/wazuh/wazuh/archive/v4.9.2.tar.gz | tar zx

Wazuh dizinine geçmek için aşağıdaki komutları çalıştırın ve kullanılacak veritabanı türünü belirtin, değişkeni veya <DATABASE_TYPE>ile değiştirin :mysqlpgsql
```
# cd wazuh-4.9.2/src
# make deps && make TARGET=server DATABASE=<DATABASE_TYPE>
```
Not

Sistem özelliklerinize bağlı olarak derleme işlemi biraz zaman alabilir.

Betiği çalıştırın install.sh. Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbaz görüntüler:
```
# cd ..
# ./install.sh
```

Script size ne tür bir kurulum istediğinizi sorduğunda managerWazuh yöneticisini kurmak için şunu yazın:
```
1- What kind of installation do you want (manager, agent, local, hybrid, or help)? manager
```
Not

Kurulum sırasında kurulum yolunu belirleyebilirsiniz. Çalıştırın install.shve dili seçin, kurulum modunu olarak ayarlayın manager, ardından kurulum yolunu ( ) ayarlayın. Varsayılan kurulum yolu 'dir . Yaygın olarak kullanılan özel bir yol . olabilir .Choose where to install Wazuh [/var/ossec]/var/ossec/opt

Uyarı

Varsayılandan farklı bir yol seçerseniz kritik bir kurulum dizini seçmemeye son derece dikkat edin. Dizin zaten mevcutsa, yükleyici dizini silmenizi veya Wazuh'u içine kurarak devam etmenizi isteyecektir.

Kurulum programı kurulumun sonunda Wazuh'u başlatmak isteyip istemediğinizi sorar. Eğer istemezseniz, aşağıdaki komutla daha sonra başlatabilirsiniz:
```
# systemctl restart wazuh-manager
```

Veritabanı yapılandırmasıBu başlığa kalıcı bağlantı

Veritabanı sisteminize göre yeni bir veritabanı oluşturun, veritabanı kullanıcısını ayarlayın ve src/os_dbdkaynak kodun bulunduğu dizinde bulunan şemayı aşağıdaki komutlarla ekleyin:

MySQL için :

# mysql -u root -p

mysql> CREATE DATABASE Alerts_DB;
Query OK, 1 row affected (2.34 sec)

mysql> CREATE USER '<DATABASE_USER>'@'<DATABASE_SERVER_IP>' IDENTIFIED BY '<DATABASE_USER_PASSWORD>';
Query OK, 0 rows affected (0.00 sec)

mysql> GRANT INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on Alerts_DB.* to '<DATABASE_USER>'@'<DATABASE_SERVER_IP>';
Query OK, 0 rows affected (0.00 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)

mysql> quit;

Yukarıdaki komutlarda aşağıdaki değişkenleri değiştirin:

<DATABASE_USER>Veritabanı sunucusu için oluşturmak istediğiniz kullanıcıyla.

<DATABASE_SERVER_IP>veritabanı sunucusunun IP adresi ile.

<DATABASE_USER_PASSWORD>veritabanı sunucusuna erişmek için kullanıcı şifresi ile.

# mysql -u root -p Alerts_DB < src/os_dbd/mysql.schema

PostgreSQL için :

# sudo -u postgres createuser -P <DATABASE_USER>
# sudo -u postgres createdb -O <DATABASE_USER> Alerts_DB
# psql -U <DATABASE_USER> -d Alerts_DB -f src/os_dbd/postgresql.schema

<DATABASE_USER>Veritabanı sunucusu için oluşturmak istediğiniz kullanıcıyla değiştirin .

Not

Kullanıcıyı oluştururken iki kez parola girmeniz istenecektir. Wazuh yöneticisini yapılandırırken gerekli olduğundan bu parolayı not edin.

Wazuh yöneticisi yapılandırmasıBu başlığa kalıcı bağlantı

Wazuh yöneticisini veritabanı sistemine uyarılar ve diğer verileri gönderecek şekilde yapılandırmak için aşağıdaki adımları izleyin.

Wazuh sunucusundaki dosya <ossec_config>bloğunun içine aşağıdaki kod bloğunu ekleyin :/var/ossec/etc/ossec.conf
- MySQL için :
```
<database_output>
  <hostname><DATABASE_SERVER_IP></hostname>
  <username><DATABASE_USER></username>
  <password><DATABASE_USER_PASSWORD></password>
  <database>Alerts_DB</database>
  <type>mysql</type>
</database_output>
```
- PostgreSQL için :
```
<database_output>
  <hostname><DATABASE_SERVER_IP></hostname>
  <username><DATABASE_USER></username>
  <password><DATABASE_USER_PASSWORD></password>
  <database>Alerts_DB</database>
  <type>postgresql</type>
</database_output>
```
Nerede:
- <hostname>veritabanı sunucusunun IP adresini belirtir. <DATABASE_SERVER_IP>Veritabanı sunucusunun IP adresini değiştirin.
- <username>veritabanına erişecek kullanıcıyı belirtir. <DATABASE_USER>Yukarıda oluşturulan veritabanı kullanıcısıyla değiştirin.
- <password>veritabanına erişmek için kullanıcı parolasını belirtir. <DATABASE_USER_PASSWORD>Yukarıda oluşturulan kullanıcı parolasıyla değiştirin.
- <database>uyarıların depolanacağı veritabanının adını belirtir. Örneğin, Alerts_DByukarıdaki yapılandırmada belirtildiği gibi.
- <type>veritabanının türünü belirtir (MySQL veya PostgreSQL). İzin verilen değerler mysqlveya pgsql.
database_output seçeneği hakkında daha fazla bilgi için başvuru kılavuzunun database_output bölümüne bakın.

Değişiklikleri uygulamak için Wazuh yönetici hizmetini yeniden başlatın:
```
# systemctl restart wazuh-manager
```

Wazuh yöneticisinin veritabanına bağlı olduğunu doğrulamak için aşağıdaki komutu çalıştırın:

# grep wazuh-dbd /var/ossec/logs/ossec.log

Output

2024/06/24 14:49:11 wazuh-dbd: INFO: Connected to database 'Alerts_DB' at '127.0.0.1'.

Veritabanı artık Wazuh yöneticisinden veri almaya başlayacaktır.