Access Gate reenvía sus flujos de auditoría y alertas mediante syslog (RFC 5424). Esta guía describe la configuración del lado de Wazuh necesaria para decodificar y mostrar dichos eventos.
Requisitos previos
- Access Gate configurado para reenviar registros por syslog TCP al manager de Wazuh. Consulte Reenvío de registros y exportación a SIEM.
- Manager Wazuh 4.x, accesible desde el appliance Access Gate por el puerto 514/TCP.
Configurar el listener remoto de Wazuh
Wazuh debe configurarse para aceptar syslog por TCP desde la IP del Access Gate. Añada un bloque <remote> a /var/ossec/etc/ossec.conf:
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>tcp</protocol>
<allowed-ips>{AccessGate_IP}/{range}</allowed-ips>
<local_ip>{Wazuh_IP}</local_ip>
</remote>
Reinicie el manager tras cualquier cambio en ossec.conf.
Añadir el decodificador de Access Gate
Los eventos de Access Gate son emitidos por el proceso vigil en formato estructurado RFC 5424. Los decodificadores integrados en Wazuh no reconocen este formato, por lo que se necesita un decodificador personalizado.
Cree /var/ossec/etc/decoders/access-gate.xml:
<decoder name="access-gate">
<prematch>access-gate vigil</prematch>
</decoder>
<decoder name="access-gate-fields">
<parent>access-gate</parent>
<regex>Log="(\.+)" Mitre="(\.+)" PrincipalIp="(\.+)" Rule="(\.+)"</regex>
<order>extra_data, status, srcip, id</order>
</decoder>
El decodificador extrae cuatro campos de cada evento de Access Gate:
| Campo | Asignado a | Ejemplo |
|---|---|---|
Log | extra_data | user Alice Salmon logged in using screen CUI Access |
Mitre | status | ----- |
PrincipalIp | srcip | 192.168.100.59 |
Rule | id | Access Screen Login Attempt |
Añadir las reglas de Access Gate
Cree /var/ossec/etc/rules/access-gate-rules.xml:
<group name="access-gate,">
<rule id="100100" level="3">
<decoded_as>access-gate</decoded_as>
<description>Access Gate: $(extra_data)</description>
</rule>
<rule id="100101" level="5">
<if_sid>100100</if_sid>
<match>ALERT</match>
<description>Access Gate alert: $(extra_data)</description>
</rule>
<rule id="100102" level="10">
<if_sid>100101</if_sid>
<match>Login Attempt</match>
<description>Access Gate: login attempt by $(srcip) - $(extra_data)</description>
</rule>
</group>
El rango de IDs 100000+ está reservado para reglas locales en Wazuh y no entra en conflicto con las reglas integradas.
Validar antes de reiniciar
Use wazuh-logtest para confirmar que el decodificador y las reglas se activan correctamente antes de reiniciar el manager:
sudo /var/ossec/bin/wazuh-logtest
Pegue un evento de muestra de Access Gate cuando se le solicite:
<130>1 2026-04-24T20:53:10.313Z access-gate vigil 334 ALERT [context@60446 Log="user Alice Salmon logged in using screen CUI Access" Mitre="-----" PrincipalIp="192.168.100.59" Rule="Access Screen Login Attempt"]
Un resultado correcto muestra la Fase 2 completándose con el decodificador access-gate-fields reconocido, y la Fase 3 disparando la regla 100102.
Una vez validado, reinicie el manager:
sudo systemctl restart wazuh-manager
Comprobar en el panel
Genere un inicio de sesión desde la interfaz de Access Gate. En el panel de Wazuh, abra Discover, ajuste el rango temporal a los últimos 15 minutos y busque rule.id: 100102 o data.srcip: <su IP>. El evento debe aparecer con los cuatro campos rellenados.
Recursos relacionados
- Reenvío de registros y exportación a SIEM — configurar el destino syslog en el lado de Access Gate
- Detección y alertas — qué alimenta el flujo de alertas
- Registros del sistema e información de diagnóstico — registros locales para resolución de problemas