Wazuh Tüm Syslog’ları Arşivlemek

Wazuh default’ta tüm logları saklamıyor. Logları alıyor>Eşleştiği bir kural var ise işliyor ve discover ekranında gösteriyor, eşleştiği bir kural yok ise logu uçuruyor. Logları saklaması için global configin altında bulunan “<logall>no</logall>” ayarını ” yes” yapmak gerekir. Bu durumda aşağıdaki dosyaya tüm logları yazacaktır.

<logall>yes</logall> şeklinde değiştirirsek; topladığı tüm logları /var/ossec/logs/archives/YIL/AY/*.log dosyasına yazacaktır.

Eğer logları json formatında saklamak istersek;
<logall_json>no </logall_json> ayarını yes olarak güncellemek gerekir. bu durumda logları aşağıdaki dosyada saklayacaktır.

/var/ossec/logs/archives/YIL/AY/*.json

Tabi her iki ayarı değiştirdikten sonra wazuh manager servisini restart etmemiz gerekir.

systemctl restart wazuh-manager