auditd

Auditd-Decoder in Wazuh erweitern: PROCTITLE korrekt extrahieren

von

EinleitungAuditd-Logs gehören zu den wichtigsten Telemetriedaten für Sicherheits-Monitoring, Incident Response und forensische Analysen. Besonders in Linux-Umgebungen liefern sie reichhaltige Informationen zu Systemaufrufen, Ausführungsparametern und Prozessmetadaten. Eine Herausforderung in Wazuh ist dabei die Decodierung von PROCTITLE, dem Feld, das die vollständige Prozess-Commandline enthält. Dieser Artikel zeigt, wie Sie Ihre auditd-Decoder in Wazuh so erweitern, dass PROCTITLE … Weiterlesen

Wenn Auditd plötzlich dich selbst überwacht

von

Wie wir /var/log überwachen wollten – und Wazuh zum Noise-Generator wurde Wer Auditd produktiv einsetzen will, lernt relativ schnell eine harte Wahrheit: Auditd ist gnadenlos ehrlich.Es loggt nicht nur Angriffe – sondern auch dich selbst. In diesem Beitrag zeige ich, wie wir auf Debian ein sauberes Auditd-Setup für Wazuh aufgebaut haben, warum plötzlich der Wazuh-Logcollector … Weiterlesen