Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 2
Подскажите, правильно ли я понимаю, что через accumulate можно объединять multiline логи в одно событие, к примеру - от postfix'а?
Не совсем так. accumulate в Wazuh позволяет добавлять поля из последующих строк логов к уже существующему событию по уникальному ID (например, queue ID в Postfix), а не просто объединять строки в одно событие.
более детальнее можно увидить тут https://youtu.be/kHBPeClhUQ8
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Создание алертов в Wazuh: настройка декодеров для обнаружения угроз (Часть 1)