Centos 8 Üzerinde Wazuh Kurulumu #3
- 1
- 0
- 0
- 0
- 0
- 0
Merhabalar, Wazuh yazı serimizde istediğimiz kriterlere göre oluşan logların mail ile bildirilmesi işlemini yapıcaz.
Bu işlemi yapmak için 2 farklı yol izlememiz gerekebilmektedir.
Eğer centos makinenizin bulunduğu ortamda mail server var ise işlemlerimiz daha kolay olacaktır. Wazuh, mail server’ı direkt kullanabilmektedir.
Ortamınızda mail server yok ise dışardaki bir mail server’ı kullanmamız için Postfix uygulamasını yükleyip gerekli ayarlamaları yapmamız gerekmektedir.
Yazımızda iki durum içinde gerekli işlemleri yapıyor olacağız.
Wazuh Ortamında Bulunan Mail Server Kullanılması
Wazuh’un ortamda bulunan mail server’ı kullanması için gerekli ayarlamaları ossec.conf dosyasında yapmamız gerekmektedir.
/var/ossec/etc/ossec.conf dosyası açılır. Ossec.conf dosyası aşağıdaki şekilde ayarları düzeltilir. Mail adresinizin şifresi istenmemektedir. Ortamınızda bulunan mail server kullanılacaktır.
Alerts alanında <email_alert_level> etiketindeki değer, oluşan loglarda hangi seviye üstünü mail göndermesini istediğimizi belirtiyoruz. Varsayılan olarak 12 gelmektedir. Önemli logların mail gelmesi için yeterli olacaktır.
<global>
<jsonout_output>yes</jsonout_output>
<alerts_log>yes</alerts_log>
<logall>yes</logall>
<logall_json>yes</logall_json>
<email_notification>yes</email_notification>
<smtp_server>smtp.example.com</smtp_server>
<email_from>ossecm@example.com</email_from>
<email_to>recipient@example.com</email_to>
<email_maxperhour>12</email_maxperhour>
<email_log_source>alerts.log</email_log_source>
</global>
<alerts>
<log_alert_level>3</log_alert_level>
<email_alert_level>12</email_alert_level>
</alerts>
Ossec.conf dosyamızda gerekli düzenlemeleri yaptıktan sonra wazuh servisini restartlamak gerekmektedir. Konsol ekranında aşağıdaki kod ile servisi restartlayabilirsiniz.
systemctl restart wazuh-manager
Artık 12 seviye üstü oluşan log için mail gelecektir.
Postfix Uygulaması İle Mail Kullanılması
Centos ortamınızın dışında mail server’ınız bulunuyorsa, yada Google gibi mail servislerini kullanmak istiyorsanız, Postfix uygulamasını ayarlamanız gerekmektedir.
Postfix, Centos üzerinde mail server gibi çalışır, oluşan mail işlemlerini belirtiğiniz mail server’ına yönlendirir.
Postfix, yükleme işlemine başlayabiliriz. Komut satırından aşağıdaki kod ile postfix’i yükleyebilirsiniz.
# yum install postfix cyrus-sasl-plain
# systemctl enable postfix
Gerekli Firewall izinlerini vermek içinde aşağıdaki kodu kulanabilirsiniz.
# iptables -A INPUT -s IPADDRESS/24 -p tcp -m state --state NEW --dport 25 -j ACCEPT
Postfix kurulumunu tamamladıktan sonra kullanıcağımız mail server bilgilerini girmemiz gerekmektedir. Bunun için /etc/postfix/main.cf dosyası açılır. Aşağıdaki şekilde gerekli bilgiler düzenlenir. Kullandığınız mail server’a görede güvenlik seçeneklerini değiştirmeniz gerekebilir.
smtpd_banner = $myhostname ESMTP
inet_interfaces = all
inet_protocols = ipv4
mynetworks = 127.0.0.0/8, IPADDRESS/24
relayhost = [mail.example.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CApath = /etc/ssl/certs
smtp_use_tls = yes
Mail server bilgilerinizi ekledikten sonra, mail ve şifre bilgilerimizide kaydetmemiz gerekmektedir. /etc/postfix dizininde sasl_passwd dosyası oluşturulur ve mail giriş bilgilerimiz içine yazılır.
[mail.example.com]:587 user@example.com:passwd
Postfix servisimizi çalıştırabiliriz. Aşağıdaki komutlar ile çalıştırabilirsiniz.
# chmod 0600 /etc/postfix/sasl_passwd
# postmap /etc/postfix/sasl_passwd
# postfix check
# systemctl restart postfix
Postfix üzerinde gerekli işlemlerimizi tamamladık. Wazuh tarafında mail gönderimi için ayarlamaları yapmamız gerekmektedir.
/var/ossec/etc/ossec.conf dosyası açılır. Ossec.conf dosyası aşağıdaki şekilde ayarları düzeltilir.
<global>
<jsonout_output>yes</jsonout_output>
<alerts_log>yes</alerts_log>
<logall>yes</logall>
<logall_json>yes</logall_json>
<email_notification>yes</email_notification>
<smtp_server>localhost</smtp_server>
<email_from>ossecm@example.com</email_from>
<email_to>recipient@example.com</email_to>
<email_maxperhour>12</email_maxperhour>
<email_log_source>alerts.log</email_log_source>
</global>
<alerts>
<log_alert_level>3</log_alert_level>
<email_alert_level>12</email_alert_level>
</alerts>
Centos üzerinde Postfix kurduğumuz için artık <smtp_server> etiketinde localhost olarak kullanmamız gerekmektedir. Gerekli düzenlemeyi yaptıktan sonra wazuh servisini yeniden başlatmamız gerekmektedir.
systemctl restart wazuh-manager
Artık 12 seviye üstü oluşan log için mail gelecektir.
Bu yazımızın sonuna geldik. Serimiz devam edecektir. Diğer yazılarda görüşmek üzere.