Создание алертов в Wazuh: настройка декодеров для обнаружения угроз (Часть 1)

[alker]

Подскажите, правильно ли я понимаю, что через accumulate можно объединять multiline логи в одно событие, к примеру - от postfix'а?

[pensecfort]

Не совсем так. accumulate в Wazuh позволяет добавлять поля из последующих строк логов к уже существующему событию по уникальному ID (например, queue ID в Postfix), а не просто объединять строки в одно событие.
более детальнее можно увидить тут https://youtu.be/kHBPeClhUQ8