目录

一、wazuh配置

 二、wazuh案例复现

---

一、wazuh配置

1.1进入官网下载OVA启动软件

Virtual Machine (OVA) - Installation alternatives (wazuh.com)

 1.2点击启动部署，傻瓜式操作

1.3通过账号：wazuh-user，密码：wazuh进入wazuh

1.4将桥接模式更改为仅nat模式 1.5更改配置之后输入重新启动命令 service network restart

查看自身ip

ip a

1.6配置已好，本地开启小皮Apache直接访问

1.7有时会因为网络问题出现如下问题，我们采用重启wazuh即可

wazuh重启：

systemctl restart wazuh-manager

 二、wazuh案例复现

当我们使用本地的cmd通过ssh一直连接wazuh的时候便会出现十级报错，此次在后台可以明显的看到有爆破的提示扫描，通过分析其具体的数据包以及对应的规则理解到wuzuh在外来访问的时候，会触发到解码器，其作用是用来抓取关键信息，其中核心便是正则表达式进行正则匹配，当数据来了之后，wazuh程序会分析我们的日志，把这些日志信息发到相对应的解码器去，通过解码器去进行解码，解码完后，再发送到相应的规则，然后把解码完的数据通过规则，再次进行匹配，最终展示到仪表盘的Modules里的Security events里

复现例图：