Access Gate transmet ses flux d'audit et d'alertes via syslog (RFC 5424). Ce guide décrit la configuration côté Wazuh nécessaire pour décoder et exploiter ces événements.
Prérequis
- Access Gate configuré pour transmettre les journaux par syslog TCP vers votre manager Wazuh. Voir Transfert de logs et export SIEM.
- Manager Wazuh 4.x, accessible depuis l'appliance Access Gate sur le port 514/TCP.
Configurer l'écouteur distant Wazuh
Wazuh doit être configuré pour accepter le syslog en TCP depuis l'IP de l'Access Gate. Ajoutez un bloc <remote> dans /var/ossec/etc/ossec.conf :
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>tcp</protocol>
<allowed-ips>{AccessGate_IP}/{range}</allowed-ips>
<local_ip>{Wazuh_IP}</local_ip>
</remote>
Redémarrez le manager après toute modification de ossec.conf.
Ajouter le décodeur Access Gate
Les événements Access Gate sont émis par le processus vigil au format structuré RFC 5424. Les décodeurs natifs de Wazuh ne reconnaissent pas ce format, un décodeur personnalisé est donc nécessaire.
Créez /var/ossec/etc/decoders/access-gate.xml :
<decoder name="access-gate">
<prematch>access-gate vigil</prematch>
</decoder>
<decoder name="access-gate-fields">
<parent>access-gate</parent>
<regex>Log="(\.+)" Mitre="(\.+)" PrincipalIp="(\.+)" Rule="(\.+)"</regex>
<order>extra_data, status, srcip, id</order>
</decoder>
Ce décodeur extrait quatre champs de chaque événement Access Gate :
| Champ | Mappé sur | Exemple |
|---|---|---|
Log | extra_data | user Alice Salmon logged in using screen CUI Access |
Mitre | status | ----- |
PrincipalIp | srcip | 192.168.100.59 |
Rule | id | Access Screen Login Attempt |
Ajouter les règles Access Gate
Créez /var/ossec/etc/rules/access-gate-rules.xml :
<group name="access-gate,">
<rule id="100100" level="3">
<decoded_as>access-gate</decoded_as>
<description>Access Gate: $(extra_data)</description>
</rule>
<rule id="100101" level="5">
<if_sid>100100</if_sid>
<match>ALERT</match>
<description>Access Gate alert: $(extra_data)</description>
</rule>
<rule id="100102" level="10">
<if_sid>100101</if_sid>
<match>Login Attempt</match>
<description>Access Gate: login attempt by $(srcip) - $(extra_data)</description>
</rule>
</group>
La plage d'identifiants 100000+ est réservée aux règles locales dans Wazuh et n'entre pas en conflit avec les règles intégrées.
Valider avant de redémarrer
Utilisez wazuh-logtest pour vérifier que le décodeur et les règles se déclenchent correctement avant de redémarrer le manager :
sudo /var/ossec/bin/wazuh-logtest
Collez un événement Access Gate représentatif à l'invite :
<130>1 2026-04-24T20:53:10.313Z access-gate vigil 334 ALERT [context@60446 Log="user Alice Salmon logged in using screen CUI Access" Mitre="-----" PrincipalIp="192.168.100.59" Rule="Access Screen Login Attempt"]
Un résultat correct affiche la phase 2 avec le décodeur access-gate-fields reconnu, puis la phase 3 déclenchant la règle 100102.
Une fois la validation effectuée, redémarrez le manager :
sudo systemctl restart wazuh-manager
Vérifier dans le tableau de bord
Déclenchez une connexion depuis l'interface Access Gate. Dans le tableau de bord Wazuh, ouvrez Discover, réglez la plage temporelle sur les 15 dernières minutes et recherchez rule.id: 100102 ou data.srcip: <votre IP>. L'événement doit apparaître avec les quatre champs renseignés.
Voir aussi
- Transfert de logs et export SIEM — configurer la destination syslog côté Access Gate
- Détection et alertes — ce qui alimente le flux d'alertes
- Journaux système et informations de diagnostic — journaux locaux pour le dépannage