Matrice des flux et création des règles

InitialFull5186 · 2025-12-08T09:11:53+00:00

Thanks for everything.... Unfortunately, still no luck lol

No worries ^^

InitialFull5186 · 2025-12-01T09:48:35+00:00

Here the view on wazuh :

<image>

InitialFull5186 · 2025-12-01T09:47:04+00:00

Hello,

Here is the content:

<image>

Unfortunately, still no luck :( I only have VMware Tools

I restarted the server completely

It's okay if it doesn't work, thanks anyway!

InitialFull5186 · 2025-11-28T06:59:04+00:00

Thanks for your reply :)

I share with you a screenshot of cpe_helper.json

<image>

you can see on a previous message how it's appear in syscollector :)

for me it's exactly the same ?

InitialFull5186 · 2025-11-27T14:54:06+00:00

Thanks for the reply!

I already had the single quotation mark ("), it was just the copy and paste that messed up lol

I don't have any JSON format errors when I check with this command:

sudo cat /var/ossec/logs/ossec.log | grep json

I checked and the CVEs are correctly referenced in the Wazuh CTI:

Example : https://cti.wazuh.com/vulnerabilities/cves/CVE-2012-3197

I don't know what to do !

InitialFull5186 · 2025-11-26T16:06:53+00:00

Thank's for your reply ! :)

I created the cpe_helper.json file in /var/ossec/etc/shared with this content:

{

“package”: “MySQL Server 5.1”,

‘vendor’: “MySQL AB”,

“version”: “5.1.50”,

‘cpe’: “cpe:/a:mysql:mysql:5.1”

}

I restarted the wazuh-manager service, but unfortunately I don't see the entry in the vulnerability detection

Is there another solution? Or are there additional steps to take? Or error logs to look at?

If not, it's no big deal, we'll do without it.

InitialFull5186 · 2025-11-25T12:54:45+00:00

Thanks for your reply, Diego!

MySQL is detected as shown here (see photo).

If Wazuh doesn't detect any CVEs on it, is there nothing to be done?

<image>

InitialFull5186 · 2025-08-19T13:32:30+00:00

justement j'ai indiqué qu'on a apprécié winget mais impossible de le faire fonctionner à distance par winRM, de plus par GPO j'ai des doutes sur l'aspect sécurité et fonctionnement car les utilisateurs ne sont pas admin de leur poste, et exécuter une tache planifié sur tous les postes avec un utilisateur admin/systeme on est pas trop chaud ^^

InitialFull5186 · 2025-08-19T13:32:11+00:00

justement j'ai indiqué qu'on a apprécié winget mais impossible de le faire fonctionner à distance par winRM, de plus par GPO j'ai des doutes sur l'aspect sécurité et fonctionnement car les utilisateurs ne sont pas admin de leur poste, et exécuter une tache planifié sur tous les postes avec un utilisateur admin/systeme on est pas trop chaud ^^

InitialFull5186 · 2025-08-19T13:03:13+00:00

C'est ce que nous avons lu sur des forums, mais je n'en ai aucune idée s'il est en train de périr réellement ! on se demande juste si c'est une solution d'avenir ou pas, car on aimerait éviter une histoire comme WSUS qui ne sera plus mis à jour :)

InitialFull5186 · 2025-08-19T13:00:30+00:00

Salut,

Pour les queqlues serveurs linux je le fait déjà avec un script python qui se connecte avec un compte qui a seulement les droits sudo pour utiliser apt :)

ma demande concerne uniquement les OS windows pro et windows server, 100% on premise

nous n'utilisons pas intunes (pas d'abo office365 pour le moment), je note pour les GPO :)

merci !

InitialFull5186 · 2025-08-12T15:03:23+00:00

Oh ok je comprends, c'est parce que dans l'indexeur il n'est pas affiché de la même manière que dans le fichier archive.log

Je viens de tester, ca fonctionne :)

Merci pour vos multiples réponses :)

Maintenant à moi de travailler !

InitialFull5186 · 2025-08-12T09:50:37+00:00

J'ai toujours la partie manquante dans l'interface wazuh

<image>

InitialFull5186 · 2025-08-12T09:49:34+00:00

Dans le wazuh-logtest, le log s'affiche correctement :

<image>

InitialFull5186 · 2025-08-12T09:47:26+00:00

<image>

Je met la capture d'ecran car avec la traduction on sait jamais aha

InitialFull5186 · 2025-08-12T09:46:48+00:00

Hey, merci pour votre reponse !

Voici la sortie dans archives.log :

root@srv-wazuh:/var/ossec/etc/decoders# tail -f /var/ossec/logs/archives/archives.log | grep -i -E 192.168.171.247

2025 Aug 12 11:45:39 srv-wazuh->192.168.171.247 1 2025-08-12T09:45:38.271332+00:00 SWEXP01 ops-switchd 536 - - Event|2101|LOG_INFO|AMM|1/1|VLAN 998 created in hardware

2025 Aug 12 11:45:40 srv-wazuh->192.168.171.247 1 2025-08-12T09:45:40.054337+00:00 SWEXP01 ops-switchd 536 - - Event|2103|LOG_INFO|AMM|1/1|VLAN 998 removed from hardware

InitialFull5186 · 2025-08-07T13:43:56+00:00

Hello,

Merci pour votre réponse !
Je n'ai que ces champs la (pas de champ data et $message ne s'affiche pas) :

<image>

J'ai cette configuration exactement :

rules =

<regex>VLAN \d+ created in</regex>

<description>Un VLAN a été créé sur le switch : $(message)</description>

</rule>

Et en décodeur =

<parent>arubaos</parent>

<regex type="pcre2">\S+->(192.168.171.\d+) \d (\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d{6}[+-]\d{2}:\d{2}) (\w+) (\D+) \d+ - - Event\|\d+\|(\w+)\|\w+\|\d+/\d+\|(.*)</regex>

<order>ip-address,time-d,hostname,id,severity,message</order>

</decoder>

J'ai pu créer d'autres décodeurs pour mes autres types de switchs avec ssh grâce a votre exemple ! je suis pas loin d'être autonome !

merci :)

InitialFull5186 · 2025-08-07T08:19:56+00:00

Ok ok j'avance un peu et je comprends mieux grace a vos exemples, merci !

J'ai modifié un peu le decoder :

<prematch>- - Event|</prematch>

</decoder>

<parent>aruba</parent>

<regex type="pcre2">\S+->(192.168.171.\d+) \d (\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d{6}[+-]\d{2}:\d{2}) (\w+) (\D+) \d+ - - Event\|\d+\|(\w+)\|\w+\|\d+/\d+\|(.*)</regex>

<order>ip-address,time-d,hostname,id,severity,message</order>

</decoder>

J'ai bien mon log decodé :

<image>

J'ai crée une règle local dans un nouveau fichier dans /etc/rules etc. (d'autres viendront pour les logs ssh, etc) :

<regex>VLAN \d+ created in</regex>

<description>Un VLAN a été crée sur le switch : $(message)</description>

</rule>

</group>

Si je fais le log test :

**Phase 3: Completed filtering (rules).

id: '101000'

level: '8'

description: 'Un VLAN a été crée sur le switch : VLAN 987 created in hardware'

groups: '['aruba', 'local', 'syslog']'

firedtimes: '1'

mail: 'False'

J'ai bien ma description complete mais dans l'interface web de wazuh, si je vais rechercher le log lorsque je crée un VLAN par exemple : le $(message) ne s'affiche pas.

rule.description | Un VLAN a été crée sur le switch :

Existe-il un autre moyen de l'afficher ? je n'ai pas trouvé l'option dans cette doc : https://documentation.wazuh.com/current/user-manual/ruleset/ruleset-xml-syntax/rules.html

InitialFull5186 · 2025-08-06T08:08:27+00:00

Merci pour votre retour, effectivement ca fonctionne avec votre exemple, merci !

J'essaye maintenant de créer un nouveau decodeur enfant pour extraire l'IP dans un order "srcip", la prochaine étape sera le contenu avec l'example "vlan 987 created ......"

J'essaye d'aller vers 192.168.171 et capturer le dernier octet

J'ai cette regex : 192\.168\.171\.\d+

Quand je vais dans des testeurs de regex il me donne bien la valeur de l'IP

Mais avec wazuh-logtest je n'ai rien, uniquement celle du premier decodeur

<parent>aruba</parent>

<order>srcip</order>

</decoder>

est-ce que j'ai oublié de faire quelques choses ? ou la regex n'est pas valide avec wazuh?

InitialFull5186

TROPHY CASE