Привет, народ!
Короче, пытался сделать декодер Wazuh для syslog с RouterOS. Задача — это блокировки фаервола, аренда DHCP и всякие фишки по обнаружению brute force. В общем, думал, что будет проще, чем кавун с грядки, а по факту — нифига!
Начал с того, что зашёл в документацию Wazuh, но там не всё так очевидно. Много всяких терминов, которые я не совсем понял. Очень много времени потратил на то, чтобы разобрать, как правильно настроить эти декодеры. Также не удалось найти примеры, которые бы конкретно касались RouterOS.
Пробовал писать конфигурацию, но когда новые логи поступали, всё валилось в “пустырь”. Понять, как правильно парсить логи — это же целая наука! Тексты то ли не подходили, то ли я не так их рубил. В общем, ни о каком анализе не успел подумать, так как пришёл в замешательство.
Плюс, заметил, что некоторые поля выражаются по-другому, чем я ожидал. Например, в логах DHCP там какая-то дикая структура, а не стандартные key-value. А с brute force вообще с трудом распарсил, все попытки как в черной дыре уходили.
Но было не всё так плохо! Нашел крутые курсы на yodo.im. Они сильно прокачали мой скилл по Wazuh и позволили лучше разобраться с декодерами. Если бы не эти курсы, я бы точно застрял на полгода с этой задачей.
Так что, если у кого есть опыт с этой темой, поделитесь, пожалуйста! Буду очень признателен!