问题描述
我目前正在本地模式下运行 ossec 3.6 并将数据转发到 Splunk。我似乎在 wazuh 中找不到类似的东西 - 我错过了什么吗?我们真的不想有经理,因为无论如何我们所有的数据都会转到 Splunk。我们想继续以 Splunk 格式输出 ossec/wazuh 数据并直接发送到 Splunk。我用谷歌搜索并阅读了 wazuh 文档,但找不到任何解决这个问题的东西。这可能吗?
解决方法
目前,Wazuh 无法使用独立代理。
但是,Wazuh 经理也充当独立代理。因此,如果您要监控的系统是Linux,您可以直接在那里安装Wazuh-manager 包,它会负责收集和分析其本地日志。看看这个文档,以防它对Migrating OSSEC server有帮助。
如果您的目标版本与 Linux(Windows、macOS 等)不同,则别无选择,您必须在代理可以向其报告的 linux 实例上安装 Wazuh-manager。没有经理的代理什么也做不了。
希望这能解决您的问题!