Odpověď na názor
Odpovídáte na názor k článku Wazuh: nástroj pro správu informací o událostech a zabezpečení (SIEM). Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Provozuju wazuh pro jeden komunitní server. Zahnívání nastávalo jedině kvůli by default nedokonfigurované policy pro Opensearch
https://wazuh.com/blog/wazuh-index-management/K vyčerpání shards dojde podle zatížení za pár měsíců, když se zapne uchovávání logů (archives), což je pro LM/SIEM základní potřeba.
Na začátku je potřeba odladit dekodéry a občas se k nim vrátit a doladit pro události, které na začátku nebyly.
Určitě to není jaderná věda, nejsem vývojář, neprovozuju jinde ELK a jde to. Dokumentace ujde, dekodéry jsou regex, podpora https://groups.google.com/g/wazuh? je ochotná, kvalitní-evropská, žádná indie.
