我试过 this tutorial 。但它没有捕获 OSSEC 日志(警报、系统日志等)，它只是为我的 Kibana 应用程序提供了这条消息。



我知道有一些像 this 这样的教程。但是需要使用wazuh包，我不想使用它，我只想使用纯OSSEC。我的 OSSEC 和 ELK 应用程序位于 samw 机器中

我的问题是，如何将 OSSEC 与 ELK 集成？在开始将 OSSEC 连接到 ELK 之前，我必须先做哪些配置？

您需要加载数据模板，以便 Elastisearch 能够理解警报数据的格式。您可以使用Wazuh制作的，也可以下载并修改为“自己制作”。如果你沿着这条路走下去，你最终会尝试重新编写 Wazuh，你不需要这样做，因为它是开源的。您只需下载所有源文件，然后对它们执行任何操作即可。

加载模板命令:

curl https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -XPUT 'http://localhost:9200/_template/wazuh' -H 'Content-Type: application/json' -d @-