🧪 Øvelse 36a – Wazuh som log server¶
🎯 Formål¶
Formålet med denne øvelse er, at du opnår forståelse for, hvordan Wazuh modtager og viser logdata, og hvordan du kan sikre, at ufiltrerede loglinjer bliver synlige i dashboardet.
Du lærer at bruge den officielle dokumentation til at aktivere arkivering af hændelser og validere, om dine logkilder leverer data korrekt. Øvelsen styrker din evne til at fejlfinde og forstå sammenhængen mellem loginput, dekodere og regelmatch.
🧠 Baggrund: Hvordan Wazuh behandler logdata¶
Wazuh fungerer som et distribueret system, hvor logdata indsamles, analyseres og vises centralt.
Her er en typisk logflows:
[Klientlog – fx auditd/syslog/custom logs]
↓
[Wazuh Agent (opsamler loggen)]
↓
[Wazuh Manager (modtager og analyserer loggen)]
↓
[Decoder → Regelmatch]
↓
✅ Security Events
❗ Uden match: Archives (Discover)
📘 Dekodere og regler – hvad er det?¶
-
Dekoder: Oversætter rå logdata til struktureret information (felter som
srcip,command,user, osv.).
→ Uden en dekoder vises loggen som én lang tekststreng. -
Regel: Et sæt betingelser, som matcher bestemte typer hændelser i dekodet logdata og tildeler fx severity, alert message, group osv.
💡 Hvis en log mod forventning, ikke vises under Security Events, kan det skyldes:
- Loggen er ikke modtaget
- Loggen er ikke dekodet korrekt
- Der findes ingen matchende regel
Men! Med arkivvisning kan du stadig se loggen – og det er det, du lærer her.
➡️ Når du f.eks. integrerer auditd med Wazuh og dine alarmer ikke dukker op som forventet, er arkivvisningen et afgørende værktøj: Du kan kontrollere, om loggen overhovedet bliver sendt og hvordan den ser ud – og dermed finde ud af, om problemet ligger i logkilden, dekodningen eller reglen.
🔎 I den rå log i archives kan du desuden se, hvilken dekoder der blev anvendt (feltet decoder.name), hvilket er nyttigt til at forstå og fejlfinde den videre behandling i Wazuh.
📋 Øvelse: Brug den officielle dokumentation til at konfigurer visning af alle logs¶
Du skal bruge følgende afsnit i Wazuhs dokumentation til at aktivere og verificere logarkivering i dashboardet:
🔗 Wazuh Docs – Archiving Event Logs
📚 Anvend følgende underafsnit:
- Enabling archiving
- Visualizing the events on the dashboard
- Wazuh Dashboard
Din opgave er at følge instruktionerne dér og validere din opsætning ved at observere, at logs (uden regelmatch) kan ses i Discover.
💡 Brug dokumentationen aktivt – noter dig evt. hvilke trin du udfører, og hvorfor de er nødvendige.
🤔 Refleksionsspørgsmål¶
- Hvad er forskellen på en loglinje, der modtages, og en der udløser en alarm?
- Hvordan kan arkivvisning hjælpe dig med at fejlfinde dekodere og regler?
- Hvilken rolle spiller Filebeat i dette logflow?
- Hvorfor er det vigtigt at forstå denne funktion i et distribueret SIEM-setup?
📘 CIS-kobling: Audit Log Management¶
Denne øvelse understøtter CIS Control 8: Audit Log Management, især:
| CIS Control | Titel | Relevans |
|---|---|---|
| 8.2 | Enable Logging for All Systems | Øvelsen viser, hvordan man sikrer komplet logindsamling |
| 8.5 | Centralize Audit Logs | Logs fra alle klienter gemmes centralt i OpenSearch |
| 8.7 | Retain Audit Logs | Arkivlogs muliggør søgning, selv uden regelmatch |
🔗 Links og ressourcer¶
- Wazuh Docs – Archiving Event Logs
- CIS Controls v8 – Audit Log Management
- OpenSearch Dashboards
- Wazuh training labs (officiel hands-on)