Access Gate leitet seine Audit- und Alert-Streams über Syslog (RFC 5424) weiter. Diese Anleitung beschreibt die Wazuh-seitige Konfiguration, die zum Dekodieren und Anzeigen dieser Ereignisse erforderlich ist.
Voraussetzungen
- Access Gate ist so konfiguriert, dass Logs über TCP-Syslog an Ihren Wazuh-Manager weitergeleitet werden. Siehe Log-Weiterleitung und SIEM-Export.
- Wazuh-Manager 4.x, vom Access Gate-Gerät aus über Port 514/TCP erreichbar.
Den Wazuh Remote Listener konfigurieren
Wazuh muss so konfiguriert werden, dass es Syslog über TCP von der Access Gate-IP akzeptiert. Fügen Sie einen <remote>-Block in /var/ossec/etc/ossec.conf ein:
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>tcp</protocol>
<allowed-ips>{AccessGate_IP}/{range}</allowed-ips>
<local_ip>{Wazuh_IP}</local_ip>
</remote>
Starten Sie den Manager nach jeder Änderung an ossec.conf neu.
Den Access Gate Decoder hinzufügen
Access Gate-Ereignisse werden vom vigil-Prozess im strukturierten Datenformat RFC 5424 ausgegeben. Die integrierten Decoder von Wazuh unterstützen dieses Format nicht, daher ist ein benutzerdefinierter Decoder erforderlich.
Erstellen Sie /var/ossec/etc/decoders/access-gate.xml:
<decoder name="access-gate">
<prematch>access-gate vigil</prematch>
</decoder>
<decoder name="access-gate-fields">
<parent>access-gate</parent>
<regex>Log="(\.+)" Mitre="(\.+)" PrincipalIp="(\.+)" Rule="(\.+)"</regex>
<order>extra_data, status, srcip, id</order>
</decoder>
Damit werden vier Felder aus jedem Access Gate-Ereignis extrahiert:
| Feld | Zugeordnet zu | Beispiel |
|---|---|---|
Log | extra_data | user Alice Salmon logged in using screen CUI Access |
Mitre | status | ----- |
PrincipalIp | srcip | 192.168.100.59 |
Rule | id | Access Screen Login Attempt |
Die Access Gate-Regeln hinzufügen
Erstellen Sie /var/ossec/etc/rules/access-gate-rules.xml:
<group name="access-gate,">
<rule id="100100" level="3">
<decoded_as>access-gate</decoded_as>
<description>Access Gate: $(extra_data)</description>
</rule>
<rule id="100101" level="5">
<if_sid>100100</if_sid>
<match>ALERT</match>
<description>Access Gate alert: $(extra_data)</description>
</rule>
<rule id="100102" level="10">
<if_sid>100101</if_sid>
<match>Login Attempt</match>
<description>Access Gate: login attempt by $(srcip) - $(extra_data)</description>
</rule>
</group>
Regel-IDs im Bereich 100000+ sind in Wazuh für lokale Regeln reserviert und kollidieren nicht mit integrierten Regeln.
Vor dem Neustart validieren
Verwenden Sie wazuh-logtest, um zu prüfen, ob Decoder und Regeln korrekt auslösen, bevor Sie den Manager neu starten:
sudo /var/ossec/bin/wazuh-logtest
Fügen Sie ein Beispiel-Access Gate-Ereignis an der Eingabeaufforderung ein:
<130>1 2026-04-24T20:53:10.313Z access-gate vigil 334 ALERT [context@60446 Log="user Alice Salmon logged in using screen CUI Access" Mitre="-----" PrincipalIp="192.168.100.59" Rule="Access Screen Login Attempt"]
Ein erfolgreiches Ergebnis zeigt, dass Phase 2 mit dem Decoder access-gate-fields abgeschlossen wird und Phase 3 die Regel 100102 auslöst.
Nach erfolgreicher Validierung starten Sie den Manager neu:
sudo systemctl restart wazuh-manager
Im Dashboard überprüfen
Lösen Sie ein Anmeldeereignis über die Access Gate-Benutzeroberfläche aus. Öffnen Sie im Wazuh-Dashboard Discover, setzen Sie den Zeitraum auf die letzten 15 Minuten, und suchen Sie nach rule.id: 100102 oder data.srcip: <Ihre IP>. Das Ereignis sollte mit allen vier ausgefüllten Feldern erscheinen.
Verwandte Themen
- Log-Weiterleitung und SIEM-Export — Syslog-Ziel auf der Access Gate-Seite konfigurieren
- Erkennung und Alerts — was den Alert-Stream befüllt
- Systemlogs und Diagnoseinformationen — lokale Logs zur Fehlerbehebung