Vlákno názorů k článku Wazuh: nástroj pro správu informací o událostech a zabezpečení (SIEM) od mad - Jak je na tom Wazuh s parsovani custom...

Jak je na tom Wazuh s parsovani custom logu regex nebo lepe regex + grok patterns ? Kdybych chtel z log management udelat ten krok vyse, abych pak nelitoval.

Ted pouzivam logmanagement Graylog, je pod tim taky elasticsearch, ale diky grok patterns muzu v tech custom definicich pro parsovani rict i datovy typ, se kterym to pak jde do elasticsearch, takze nemusim posleze obskurne rucne editovat elasticsearch indexy, abych pracoval ve vyhledavani s cisly jako s cisly (podminky vetsi/mensi, sum() atp)

Dal mam moznost pri parsovani provadet rovnou i transformace a enrichment dat nad polozkami naparsovaneho zaznamu, nejen az nasledne pri jejich zobrazeni.

Nastaveni elasticsearch je komfortni, vyjma nastaveni threshold na zaplneni je komplet soucasti UI Graylog

Graylog se da skalovat i horizontalne (nejen v nem obsazeny elasticsearch, ale i konfigurace), protoze konfiguraci drzi v mongoDB

Velke minus je, ze nekter features jsou placene. Opensource to je, ale jen jako CE (community edition) . Wazuh je z pohledu licenci komplet open, nebo si taky hraji na vicero edici ? Z webu to vypada, ze za penize jsou jen webinare a podpora, je to tak ?

Posledni dotaz, webinar zmineny v clanku je free nebo za penize ? Ani na strankach initMAX to nejak nevidim.

Co se týká parsování, Wazuh má vlastní decodéry a parsery a je možné je plně upravovat.

K Wazuh indexeru, ten je postavený na OpenSearch (fork Elastic), který řeší právě problémy (placené funkce) CE edice Elasticu a je open source.

Wazuh jako celek je také open source. Obchodní model mají postavený na jejich cloudu a supportu.

Webinář v článku i ostatní webináře initMAXu jsou ZDARMA.