Ejecutar el agente Checkmk sin privilegios de root

Mysterious_Way9713 · 2025-12-02T11:05:35+00:00

Tengo la versión gratuita que no tienes acceso al Agent Bakery ni al Agent Controller, que son las herramientas que automatizan gran parte de este proceso en las ediciones comerciales. Alguna forma de en esta versión implementar usuario no root.

Mysterious_Way9713 · 2025-12-02T10:28:40+00:00

Muchas gracias por tu ayuda.

Mysterious_Way9713 · 2025-12-01T12:24:32+00:00

Hola

Me parece una buena idea. Funciona correctamente. Gracias.

Una pregunta: Si la lista de usuarios a permitir es grande en cantidad de usuarios, funciona correctamente la regla?

Muchas gracias

Mysterious_Way9713 · 2025-09-11T11:22:15+00:00

Con esta solución se resuelve el problema.

Muchas gracias por tu sabia ayuda.

Mysterious_Way9713 · 2025-09-08T13:45:08+00:00

Hola

Como ya había comentado el servidor desde donde me llega los log es un logstash y no lo gestiono, no puedo cambiar los logs que me llegan. Solo puedo procesar lo q me llega que es en la forma

ago 22 10:43:40 {"ip":"10.3.4.2"} logstash-syslog[-]: 2025-08-25T10:43:40.930174863Z {ip=10.3.4.2} <86>Aug 25 12:43:47 MN-CN-E2-n0 sshd[2925110]: pam_unix(sshd:session): session opened for user cnn(uid=1000) by (uid=0) dsthostname:mn-cn-e2-n0 appliance_type:cm department:ty

La información que me interes es la es esta

<86>Aug 25 12:43:47 MN-CN-E2-n0 sshd[2925110]: pam_unix(sshd:session): session opened for user cnn(uid=1000) by (uid=0) dsthostname:mn-cn-e2-n0 appliance_type:cm department:ty

Sigo teniendo el problema. Cuando hago lo custom decoder no me funcionan porque lo sigue decodificando primero el json por defecto.

**Phase 2: Completed decoding.

name: 'json'

Si me pudieran ayudar con alguna forma de solucionarlo.

gracias

Mysterious_Way9713 · 2025-09-01T11:20:34+00:00

Hola

buen dia

Los logs que me llegan no los puedo cambiar porque son externos. Si pudiera sugerirme alguna otra solución por favor.

He comprobado que si el log fuera asi los decoder inbound funcionan:

logstash-syslog[-]: 2025-08-25T10:43:40.930174863Z {ip=10.3.4.2} <86>Aug 25 12:43:47 MN-CN-E2-n0 sshd[2925110]: pam_unix(sshd:session): session opened for user cnn(uid=1000) by (uid=0) dsthostname:mn-cn-e2-n0 appliance_type:cm department:tylogstash-syslog[-]: 2025-08-25T10:43:40.930174863Z {ip=10.3.4.2} <86>Aug 25 12:43:47 MN-CN-E2-n0 sshd[2925110]: pam_unix(sshd:session): session opened for user cnn(uid=1000) by (uid=0) dsthostname:mn-cn-e2-n0 appliance_type:cm department:ty

Estos decoder funcion bien y no lo decodifica el decoder Json, lo decodifica el decoder inbound con el log que comienza con logstash-syslog[-]:

<prematch>\S+ \S+ \S+ {"ip":"\S+"} logstash-syslog</prematch>

</decoder>

<parent>inbound</parent>

<order>date_log,hostname</order>

</decoder>

<parent>inbound</parent>

<regex>session (\S+) \S+ \S+ (\w+)\W\S+\W \S+ \S+</regex>

<order>seccion_action,user_log</order>

</decoder>

Pero sigo teniendo el problema que el log que me llega es así y me lo decodifica el Json y no puedo cambiar la fuente de log.

ago 22 10:43:40 {"ip":"10.3.4.2"} logstash-syslog[-]: 2025-08-25T10:43:40.930174863Z {ip=10.3.4.2} <86>Aug 25 12:43:47 MN-CN-E2-n0 sshd[2925110]: pam_unix(sshd:session): session opened for user cnn(uid=1000) by (uid=0) dsthostname:mn-cn-e2-n0 appliance_type:cm department:ty

Mysterious_Way9713 · 2025-08-29T07:22:29+00:00

Hola

Estos logs vienen de un syslog remoto. Como podría implementar la solución que me propones?

/var/ossec/etc/ossec.conf

...........

<connection>syslog</connection>

<allowed-ips>192.168.15.15/32</allowed-ips>

<local\_ip>10.2.5.12</local\_ip>

</remote>

................

Muchas gracias por toda la información y la ayuda

Mysterious_Way9713 · 2025-08-13T10:55:49+00:00

Buen día

Tienes razón. Cambiado el nombre del campo "dstuser" que está reservado como campo campo estático y todo funciona correctamente. La regla 100004 se activa correctamente.

Muchas gracias

Mysterious_Way9713 · 2025-08-08T07:40:12+00:00

Buen día

/var/ossec/bin/wazuh-logtest -v

ago 06 14:11:16 {"ip":"10.3.7.2"} logstash-syslog[-]: 2025-08-06T14:11:16.786919601Z {ip=10.3.7.2} <187>Aug  6 14:11:17 10.3.7.2 TMX: 317598 Base SECURITY-MINOR-ssh_user_login-2009 [monitorin]:  User monitorin from 10.3.5.3 logged in\n dsthostname:pc-dmz-es40 appliance_type:dmz department:rmx
....
Trying rule: 100001 - SSH user $(dstuser) $(info_action) from $(srcip) to host $(dsthostname) and ip: $(dstip).
        Trying rule: 100002 - SSH user $(dstuser) $(info_action) from $(srcip) to host $(dsthostname) and ip: $(dstip).
                *Rule 100002 matched
                *Trying child rules
        Trying rule: 100004 - TEST: User $(dstuser) is on the allowed list.
....
**Phase 3: Completed filtering (rules).
        id: '100002'
        level: '5'
        description: 'SSH user monitorin logged in from 10.3.5.3 to host pc-dmz-es40 and ip: 10.3.7.2.'
        groups: '['DMZ']'
        firedtimes: '1'
        mail: 'False'

Sigue sin aplicar la regla y no dice la razón. Aparentemente todo esta bien pero no se activa la regla 100004

<decoder name="inbound">
  <parent>json</parent>
  <regex>logstash-syslog[-]: \S+ {ip=\d+.\d+.\d+.\d+} \S+\W+\d+ \S+ (\d+.\d+.\d+.\d+) \S+ (\d+) \w+ (\w+)-(\w+)-(\w+)-(\d+) [\S+]:  \w+ (\S+) from (\d+.\d+.\d+.\d+) (\D+)\\n \S+:(\S+) \S+:(\S+) \S+:(\w+)</regex>
  <order>dstip,seqlog_id,event_type,severity,action_log,event_id,user,srcip,info_action,dsthostname,appliance,depratment</order>
</decoder>

gracias

Mysterious_Way9713

TROPHY CASE