{"id":467115,"date":"2025-07-15T21:00:25","date_gmt":"2025-07-15T21:00:25","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=467115"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=467115","title":{"rendered":"<span>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0430\u043b\u0435\u0440\u0442\u043e\u0432 \u0432 Wazuh: \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432 \u0434\u043b\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0443\u0433\u0440\u043e\u0437 (\u0427\u0430\u0441\u0442\u044c 1)<\/span>"},"content":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u041f\u0440\u0438\u0432\u0435\u0442, \u0437\u0430\u0449\u0438\u0442\u043d\u0438\u043a\u0438! \ud83d\udea8 \u041d\u0430 \u043a\u0430\u043d\u0430\u043b\u0435 Pensecfort \u044f \u043d\u0430\u0447\u0430\u043b \u0446\u0438\u043a\u043b \u043f\u0440\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0430\u043b\u0435\u0440\u0442\u043e\u0432 \u0432 Wazuh, \u0438 \u0432 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435, \u043c\u044b \u0440\u0430\u0437\u0431\u0435\u0440\u0451\u043c \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u044b \u2014 \u043a\u043b\u044e\u0447\u0435\u0432\u043e\u0439 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u0434\u043b\u044f \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u043b\u043e\u0433\u043e\u0432. \u0412\u044b \u0443\u0437\u043d\u0430\u0435\u0442\u0435, \u043a\u0430\u043a \u043e\u043d\u0438 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442, \u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u043b\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0438 \u043a\u0430\u043a \u0432\u044b\u0431\u0440\u0430\u0442\u044c \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u0439 &lt;type&gt; \u0434\u043b\u044f \u043b\u043e\u0433\u043e\u0432. \u042d\u0442\u043e \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e\u0435 \u0440\u0443\u043a\u043e\u0432\u043e\u0434\u0441\u0442\u0432\u043e \u0434\u043b\u044f \u0442\u0435\u0445, \u043a\u0442\u043e \u0445\u043e\u0447\u0435\u0442 \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c Wazuh \u043f\u043e\u0434 \u0441\u0432\u043e\u0438 \u0437\u0430\u0434\u0430\u0447\u0438! <\/p>\n<h3>\u0427\u0442\u043e \u0442\u0430\u043a\u043e\u0435 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u044b \u0438 \u0438\u0445 \u0440\u043e\u043b\u044c \u0432 Wazuh<\/h3>\n<p>\u0414\u0435\u043a\u043e\u0434\u0435\u0440\u044b \u0432 Wazuh \u2014 \u044d\u0442\u043e XML-\u043e\u043f\u0438\u0441\u0430\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0430\u0440\u0441\u044f\u0442 \u0441\u044b\u0440\u044b\u0435 \u043b\u043e\u0433\u0438 \u043e\u0442 \u0430\u0433\u0435\u043d\u0442\u043e\u0432 \u0438\u043b\u0438 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432 \u0438 \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u044e\u0442 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435: IP-\u0430\u0434\u0440\u0435\u0441\u0430, \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0438 \u0442.\u0434. \u0411\u0435\u0437 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432 Wazuh \u043d\u0435 \u043f\u043e\u0439\u043c\u0451\u0442, \u0447\u0442\u043e, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043b\u043e\u0433:<\/p>\n<pre><code>Jul 07 10:46:00 hostname MyApp[12345]: session=ABC123 action=connect srcip=192.168.1.10 user=alice<\/code><\/pre>\n<p>\u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f alice \u0441 IP 192.168.1.10.<\/p>\n<p><strong>\u041f\u0440\u043e\u0446\u0435\u0441\u0441 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u043b\u043e\u0433\u043e\u0432 \u0432 Wazuh \u0434\u0435\u043b\u0438\u0442\u0441\u044f \u043d\u0430 \u0434\u0432\u0430 \u044d\u0442\u0430\u043f\u0430<\/strong>:<\/p>\n<ol>\n<li>\n<p><strong>\u0414\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435<\/strong>: \u041f\u0430\u0440\u0441\u0438\u043d\u0433 \u043b\u043e\u0433\u043e\u0432 \u0438 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u0435\u0439 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432.<\/p>\n<\/li>\n<li>\n<p><strong>\u0410\u043d\u0430\u043b\u0438\u0437<\/strong>: \u041f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u043f\u0440\u0430\u0432\u0438\u043b \u0434\u043b\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0430\u043b\u0435\u0440\u0442\u043e\u0432.<\/p>\n<\/li>\n<\/ol>\n<p>\u0414\u0435\u043a\u043e\u0434\u0435\u0440\u044b \u0431\u044b\u0432\u0430\u044e\u0442 \u0434\u0432\u0443\u0445 \u0442\u0438\u043f\u043e\u0432:<\/p>\n<ul>\n<li>\n<p><strong>Root-\u0434\u0435\u043a\u043e\u0434\u0435\u0440\u044b<\/strong>: \u041e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u044e\u0442 \u043e\u0431\u0449\u0438\u0439 \u0444\u043e\u0440\u043c\u0430\u0442 \u043b\u043e\u0433\u0430 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, syslog \u0438\u043b\u0438 nginx).<\/p>\n<\/li>\n<li>\n<p><strong>Child-\u0434\u0435\u043a\u043e\u0434\u0435\u0440\u044b<\/strong>: \u0418\u0437\u0432\u043b\u0435\u043a\u0430\u044e\u0442 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0435 \u043f\u043e\u043b\u044f (IP, \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435, \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c).<\/p>\n<\/li>\n<\/ul>\n<p>Wazuh \u043f\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441 \u0441\u043e\u0442\u043d\u044f\u043c\u0438 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0445 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432 (\u043f\u043e \u043f\u0443\u0442\u0438 \/var\/ossec\/ruleset\/decoders), \u043d\u043e \u0434\u043b\u044f \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u0438\u043b\u0438 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432 \u043d\u0443\u0436\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u0441\u0432\u043e\u0438 \u0432 \/var\/ossec\/etc\/decoders. \u0418\u0445 \u0442\u0430\u043a\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0442\u044c \u0447\u0435\u0440\u0435\u0437 \u0432\u0435\u0431-\u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 <strong>Server Management -&gt; Decoders<\/strong>.<\/p>\n<h3>\u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432 \u0438 \u0438\u0445 \u043f\u043e\u043b\u044f<\/h3>\n<p>\u0414\u0435\u043a\u043e\u0434\u0435\u0440\u044b \u043f\u0438\u0448\u0443\u0442\u0441\u044f \u0432 XML, \u0438 \u0438\u0445 \u043e\u0441\u043d\u043e\u0432\u0430 \u2014 \u0442\u0435\u0433 &lt;decoder&gt; \u0441 \u0430\u0442\u0440\u0438\u0431\u0443\u0442\u0430\u043c\u0438 \u0438 \u0432\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u043c\u0438 \u0442\u0435\u0433\u0430\u043c\u0438. \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043f\u043e\u043b\u044f \u0438 \u0438\u0445 \u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 \u043b\u043e\u0433\u043e\u0432 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f MyApp:<\/p>\n<pre><code>Jul 07 10:46:00 hostname MyApp[12345]: session=ABC123 action=connect srcip=192.168.1.10 user=alice Jul 07 10:46:05 hostname MyApp[12345]: session=ABC123 action=auth status=failed error=invalid_password Jul 07 10:46:10 hostname MyApp[12345]: session=ABC123 action=auth status=success Jul 07 10:46:15 hostname MyApp[12345]: session=ABC125 action=upload file=\/opt\/MyAPP\/test.sh status=success Jul 07 10:46:20 hostname MyApp[12345]: session=ABC125 action=disconnect<\/code><\/pre>\n<h4>\u041e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u043f\u043e\u043b\u044f \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432<\/h4>\n<ol>\n<li>\n<p>&lt;decoder&gt;: \u0423\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u043e\u0435 \u0438\u043c\u044f \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u0430, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, myapp \u0434\u043b\u044f \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u0430 \u0438\u043b\u0438 myapp-connect \u0434\u043b\u044f \u0434\u043e\u0447\u0435\u0440\u043d\u0435\u0433\u043e.<\/p>\n<\/li>\n<li>\n<p>&lt;parent&gt;: \u0421\u0432\u044f\u0437\u044b\u0432\u0430\u0435\u0442 \u0434\u043e\u0447\u0435\u0440\u043d\u0438\u0439 \u0434\u0435\u043a\u043e\u0434\u0435\u0440 \u0441 \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u043c. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0439 \u0434\u0435\u043a\u043e\u0434\u0435\u0440 myapp \u0444\u0438\u043b\u044c\u0442\u0440\u0443\u0435\u0442 \u0432\u0441\u0435 \u043b\u043e\u0433\u0438 MyApp, \u0430 \u0434\u043e\u0447\u0435\u0440\u043d\u0438\u0439 myapp-connect \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f (action=connect).<\/p>\n<\/li>\n<li>\n<p>&lt;program_name&gt;: \u0424\u0438\u043b\u044c\u0442\u0440\u0443\u0435\u0442 \u043b\u043e\u0433\u0438 \u043f\u043e \u0438\u043c\u0435\u043d\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u0432 Syslog-\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0435 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, MyApp). \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u044b\u0435 \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u044f (osmatch, osregex, pcre2). \u0420\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c pcre2 \u0434\u043b\u044f \u0433\u0438\u0431\u043a\u043e\u0441\u0442\u0438, \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0435\u0441\u043b\u0438 \u0438\u043c\u044f \u0432\u0430\u0440\u044c\u0438\u0440\u0443\u0435\u0442\u0441\u044f (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, MyApp \u0438\u043b\u0438 myapp).<\/p>\n<\/li>\n<li>\n<p>&lt;prematch&gt;: \u041f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u043d\u0430\u0447\u0430\u043b\u043e \u043b\u043e\u0433\u0430 (\u0438\u043b\u0438 \u0447\u0430\u0441\u0442\u044c \u043f\u043e\u0441\u043b\u0435 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 \u0434\u043b\u044f Syslog). \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;prematch&gt;session=\\S+&lt;\/prematch&gt; \u0444\u0438\u043b\u044c\u0442\u0440\u0443\u0435\u0442 \u043b\u043e\u0433\u0438 \u0441 session=&#8230;. \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u0430\u0442\u0440\u0438\u0431\u0443\u0442 offset=&#187;after_parent&#187; \u0434\u043b\u044f \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u0430 \u0447\u0430\u0441\u0442\u0438, \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u043e\u0439 \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u043c \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u043c.<\/p>\n<\/li>\n<li>\n<p>&lt;regex&gt;: \u0418\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 \u043f\u043e\u043b\u044f \u0438\u0437 \u043b\u043e\u0433\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u044b\u0445 \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u0439. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;regex&gt;session=(\\S+) user=(\\S+)&lt;\/regex&gt; \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 session=ABC123 \u0438 user=alice. \u0410\u0442\u0440\u0438\u0431\u0443\u0442 offset=&#187;after_prematch&#187; \u0438\u043b\u0438 after_parent \u0443\u0441\u043a\u043e\u0440\u044f\u0435\u0442 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443, \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u0430\u044f \u0443\u0436\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u0435\u043d\u043d\u044b\u0435 \u0447\u0430\u0441\u0442\u0438.<\/p>\n<\/li>\n<li>\n<p>&lt;order&gt;: \u0417\u0430\u0434\u0430\u0451\u0442 \u0438\u043c\u0435\u043d\u0430 \u043f\u043e\u043b\u0435\u0439, \u0438\u0437\u0432\u043b\u0435\u0447\u0451\u043d\u043d\u044b\u0445 &lt;regex&gt;. \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442:<\/p>\n<ul>\n<li>\n<p><strong>\u0421\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043f\u043e\u043b\u044f<\/strong>: srcip, user, action, status (\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f Wazuh \u0432 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u0445 \u0438 \u0434\u0430\u0448\u0431\u043e\u0440\u0434\u0430\u0445).<\/p>\n<\/li>\n<li>\n<p><strong>\u0414\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043f\u043e\u043b\u044f<\/strong>: \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, myapp.session (\u0434\u043b\u044f \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0438 \u0438\u0437\u0431\u0435\u0436\u0430\u043d\u0438\u044f \u043a\u043e\u043d\u0444\u043b\u0438\u043a\u0442\u043e\u0432 \u0432 Wazuh Indexer).<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p>&lt;accumulate&gt;: \u0421\u0432\u044f\u0437\u044b\u0432\u0430\u0435\u0442 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043f\u043e \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u043e\u043c\u0443 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u0443 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, session=ABC123), \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u044f \u043f\u043e\u043b\u044f (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, srcip, user) \u043a \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043b\u043e\u0433\u0430\u043c \u043e\u0434\u043d\u043e\u0439 \u0441\u0435\u0441\u0441\u0438\u0438.<\/p>\n<\/li>\n<li>\n<p>&lt;fts&gt;<strong> \u0438 <\/strong>&lt;ftscomment&gt;: \u0413\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u044e\u0442 \u0430\u043b\u0435\u0440\u0442 \u043f\u0440\u0438 \u043f\u0435\u0440\u0432\u043e\u043c \u043f\u043e\u044f\u0432\u043b\u0435\u043d\u0438\u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u044f (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043d\u043e\u0432\u043e\u0435 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u0441 IP). &lt;ftscomment&gt; \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u043f\u043e\u044f\u0441\u043d\u0435\u043d\u0438\u0435 \u043a \u0430\u043b\u0435\u0440\u0442\u0443, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &#171;\u041f\u0435\u0440\u0432\u043e\u0435 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u0441 \u043d\u043e\u0432\u043e\u0433\u043e IP&#187;.<\/p>\n<\/li>\n<li>\n<p>&lt;plugin_decoder&gt;: \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0441\u043b\u043e\u0436\u043d\u044b\u0445 \u0444\u043e\u0440\u043c\u0430\u0442\u043e\u0432 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, JSON). \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;plugin_decoder&gt;JSON_Decoder&lt;\/plugin_decoder&gt; \u043f\u0430\u0440\u0441\u0438\u0442 JSON-\u043b\u043e\u0433\u0438, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a:<\/p>\n<\/li>\n<\/ol>\n<pre><code>Jul 07 10:46:00 hostname MyApp[12345]: {\"session\":\"ABC123\",\"user\":\"alice\",\"action\":\"connect\"}<\/code><\/pre>\n<p> 10. &lt;use_own_name&gt;: \u041f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0434\u043e\u0447\u0435\u0440\u043d\u0435\u043c\u0443 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u0443 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u0432\u043e\u0451 \u0438\u043c\u044f \u0432 \u0430\u043b\u0435\u0440\u0442\u0430\u0445 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, myapp-connect \u0432\u043c\u0435\u0441\u0442\u043e myapp).<\/p>\n<p>11. &lt;json_null_field&gt;<strong> \u0438 <\/strong>&lt;json_array_structure&gt;: \u0423\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0442 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u043e\u0439 JSON-\u043b\u043e\u0433\u043e\u0432. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;json_null_field&gt;string&lt;\/json_null_field&gt; \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u0443\u0435\u0442 null \u0432 \u0441\u0442\u0440\u043e\u043a\u0443 &#171;null&#187;, \u0430 &lt;json_array_structure&gt;csv&lt;\/json_array_structure&gt; \u043a\u043e\u043d\u0432\u0435\u0440\u0442\u0438\u0440\u0443\u0435\u0442 \u043c\u0430\u0441\u0441\u0438\u0432\u044b \u0432 \u0441\u0442\u0440\u043e\u043a\u0438 \u0441 \u0437\u0430\u043f\u044f\u0442\u044b\u043c\u0438.<\/p>\n<p>12. &lt;var&gt;: \u041e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;var name=&#187;SESSION_PATTERN&#187;&gt;session=\\S+&lt;\/var&gt;) \u0434\u043b\u044f \u0443\u043f\u0440\u043e\u0449\u0435\u043d\u0438\u044f \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u044b\u0445 \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u0439.<\/p>\n<h3>\u0422\u0438\u043f\u044b \u043b\u043e\u0433\u043e\u0432 \u0438  \u0432 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u0430\u0445<\/h3>\n<p>\u0422\u0435\u0433 &lt;type&gt; \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0444\u043e\u0440\u043c\u0430\u0442 \u043b\u043e\u0433\u0430, \u0447\u0442\u043e\u0431\u044b Wazuh \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e \u0435\u0433\u043e \u043f\u0430\u0440\u0441\u0438\u043b \u0438 \u0441\u0432\u044f\u0437\u044b\u0432\u0430\u043b \u0441 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 \u0447\u0435\u0440\u0435\u0437 &lt;category&gt;. \u0411\u0435\u0437 \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e\u0433\u043e &lt;type&gt; \u043b\u043e\u0433 \u043c\u043e\u0436\u0435\u0442 \u043d\u0435 \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0442\u044c\u0441\u044f, \u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043d\u0435 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442. \u0421\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 8 \u0442\u0438\u043f\u043e\u0432:<\/p>\n<h4>\u0422\u0438\u043f\u044b \u0441 Syslog-\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u043c (\u0436\u0434\u0443\u0442 \u0434\u0430\u0442\u0443, \u0445\u043e\u0441\u0442, \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443)<\/h4>\n<ol>\n<li>\n<p><strong>Syslog<\/strong>: \u0414\u043b\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0445 \u043b\u043e\u0433\u043e\u0432 \u0438\u043b\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439.<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: Jul 07 10:46:00 hostname MyApp: session=ABC123 action=connect<br \/>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 \u0434\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u0441 Syslog-\u0444\u043e\u0440\u043c\u0430\u0442\u043e\u043c.<\/p>\n<\/li>\n<li>\n<p><strong>Firewall<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u0431\u0440\u0430\u043d\u0434\u043c\u0430\u0443\u044d\u0440\u043e\u0432 (iptables, Cisco ASA).<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: Jul 07 10:46:00 firewall1 iptables: DROP src=192.168.1.10 dst=10.0.0.5<br \/>\u041d\u0443\u0436\u0435\u043d \u0434\u043b\u044f \u043f\u0440\u0430\u0432\u0438\u043b \u043f\u043e \u0441\u0435\u0442\u0435\u0432\u044b\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u043c.<\/p>\n<\/li>\n<li>\n<p><strong>IDS<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0432\u0442\u043e\u0440\u0436\u0435\u043d\u0438\u0439 (Snort, Suricata).<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: Jul 07 10:46:00 ids1 snort: [1:1001:0] Portscan src=192.168.1.10<br \/>\u0414\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0430\u0442\u0430\u043a.<\/p>\n<\/li>\n<li>\n<p><strong>Host-information<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 (CPU, \u043f\u0430\u043c\u044f\u0442\u044c).<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: Jul 07 10:46:00 host1 monitor: cpu=25% mem=4GB<br \/>\u0414\u043b\u044f \u043c\u0435\u0442\u0440\u0438\u043a \u0445\u043e\u0441\u0442\u0430.<\/p>\n<\/li>\n<li>\n<p><strong>Windows<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 Windows Event Log.<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: Jul 07 10:46:00 winhost Security: EventID=4624 User=alice<br \/>\u0414\u043b\u044f \u0441\u043e\u0431\u044b\u0442\u0438\u0439 Windows.<\/p>\n<\/li>\n<\/ol>\n<h4>\u0422\u0438\u043f\u044b \u0431\u0435\u0437 Syslog-\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 (\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u044e\u0442 \u0432\u0435\u0441\u044c \u043b\u043e\u0433)<\/h4>\n<ol start=\"6\">\n<li>\n<p><strong>Web-log<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u0432\u0435\u0431-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 (Apache, Nginx).<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: 192.168.1.10 &#8212; &#8212; [07\/Jul\/2025:10:46:00 +0200] &#171;GET \/index.html&#187; 200 1024<br \/>\u0414\u043b\u044f HTTP-\u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432.<\/p>\n<\/li>\n<li>\n<p><strong>Squid<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u043f\u0440\u043e\u043a\u0441\u0438 Squid.<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: 1628339160.123 192.168.1.10 TCP_MISS\/200 4096 GET http:\/\/example.com\/<br \/>\u0414\u043b\u044f \u0432\u0435\u0431-\u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0447\u0435\u0440\u0435\u0437 \u043f\u0440\u043e\u043a\u0441\u0438.<\/p>\n<\/li>\n<li>\n<p><strong>Ossec<\/strong>: \u0414\u043b\u044f \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0445 \u043b\u043e\u0433\u043e\u0432 \u0431\u0435\u0437 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0433\u043e \u0444\u043e\u0440\u043c\u0430\u0442\u0430.<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: [MyApp] session=XYZ789 action=connect srcip=192.168.1.10<br \/>\u0414\u043b\u044f \u043d\u0435\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0445 \u043b\u043e\u0433\u043e\u0432.<\/p>\n<\/li>\n<\/ol>\n<p><strong>\u0417\u0430\u0447\u0435\u043c <\/strong>&lt;type&gt;<strong>?<\/strong> \u041e\u043d \u0441\u0432\u044f\u0437\u044b\u0432\u0430\u0435\u0442 \u0434\u0435\u043a\u043e\u0434\u0435\u0440 \u0441 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 \u0447\u0435\u0440\u0435\u0437 &lt;category&gt; (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;category&gt;firewall&lt;\/category&gt; \u0442\u0440\u0435\u0431\u0443\u0435\u0442 &lt;type&gt;firewall&lt;\/type&gt;). \u0414\u0430\u0436\u0435 \u0434\u043b\u044f Syslog-\u043b\u043e\u0433\u043e\u0432 (firewall, ids, host-information) &lt;type&gt; \u0432\u0430\u0436\u0435\u043d, \u0447\u0442\u043e\u0431\u044b \u0430\u043a\u0442\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0443\u0436\u043d\u044b\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430.<\/p>\n<h3>\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/h3>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u0432\u044b \u0437\u043d\u0430\u0435\u0442\u0435, \u043a\u0430\u043a \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u044b Wazuh, \u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u043b\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0438 \u043a\u0430\u043a \u0432\u044b\u0431\u0440\u0430\u0442\u044c &lt;type&gt; \u0434\u043b\u044f \u043b\u043e\u0433\u043e\u0432. \u0412 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u0447\u0430\u0441\u0442\u0438 \u043c\u044b \u0441\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u0434\u0435\u043a\u043e\u0434\u0435\u0440 \u0434\u043b\u044f OPNsense \u0438 \u0440\u0430\u0437\u0431\u0435\u0440\u0451\u043c \u0440\u0435\u0434\u0430\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0435\u0444\u043e\u043b\u0442\u043d\u044b\u0445 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432.<\/p>\n<p>\ud83d\udcac \u041a\u0430\u043a\u0438\u0435 \u043b\u043e\u0433\u0438 \u0432\u044b \u0445\u043e\u0442\u0438\u0442\u0435 \u043f\u0430\u0440\u0441\u0438\u0442\u044c? \u041f\u0438\u0448\u0438\u0442\u0435 \u0432 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f\u0445! \u041a\u0430\u043a\u0438\u0435 \u0438\u043d\u0442\u0435\u0433\u0440\u0430\u0446\u0438\u0438 \u0438\u043b\u0438 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u0432\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0435 \u0441 Wazuh?<\/p>\n<p>\ud83d\udccc \u041f\u043e\u043b\u0435\u0437\u043d\u044b\u0435 \u0441\u0441\u044b\u043b\u043a\u0438:<\/p>\n<ul>\n<li>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/ruleset\/ruleset-xml-syntax\/decoders.html?highlight=decoders\" rel=\"noopener noreferrer nofollow\">\u0414\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u044f Wazuh<\/a><\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/regex101.com\/\" rel=\"noopener noreferrer nofollow\">\u0422\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u044b\u0445 \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u0439<\/a><\/p>\n<\/li>\n<\/ul>\n<\/div>\n<\/div>\n<\/div>\n<p><!----><!----><\/div>\n<p><!----><!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/articles\/928014\/\"> https:\/\/habr.com\/ru\/articles\/928014\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u041f\u0440\u0438\u0432\u0435\u0442, \u0437\u0430\u0449\u0438\u0442\u043d\u0438\u043a\u0438! \ud83d\udea8 \u041d\u0430 \u043a\u0430\u043d\u0430\u043b\u0435 Pensecfort \u044f \u043d\u0430\u0447\u0430\u043b \u0446\u0438\u043a\u043b \u043f\u0440\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0430\u043b\u0435\u0440\u0442\u043e\u0432 \u0432 Wazuh, \u0438 \u0432 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435, \u043c\u044b \u0440\u0430\u0437\u0431\u0435\u0440\u0451\u043c \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u044b \u2014 \u043a\u043b\u044e\u0447\u0435\u0432\u043e\u0439 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u0434\u043b\u044f \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u043b\u043e\u0433\u043e\u0432. \u0412\u044b \u0443\u0437\u043d\u0430\u0435\u0442\u0435, \u043a\u0430\u043a \u043e\u043d\u0438 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442, \u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u043b\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0438 \u043a\u0430\u043a \u0432\u044b\u0431\u0440\u0430\u0442\u044c \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u044b\u0439 &lt;type&gt; \u0434\u043b\u044f \u043b\u043e\u0433\u043e\u0432. \u042d\u0442\u043e \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e\u0435 \u0440\u0443\u043a\u043e\u0432\u043e\u0434\u0441\u0442\u0432\u043e \u0434\u043b\u044f \u0442\u0435\u0445, \u043a\u0442\u043e \u0445\u043e\u0447\u0435\u0442 \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c Wazuh \u043f\u043e\u0434 \u0441\u0432\u043e\u0438 \u0437\u0430\u0434\u0430\u0447\u0438! <\/p>\n<h3>\u0427\u0442\u043e \u0442\u0430\u043a\u043e\u0435 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u044b \u0438 \u0438\u0445 \u0440\u043e\u043b\u044c \u0432 Wazuh<\/h3>\n<p>\u0414\u0435\u043a\u043e\u0434\u0435\u0440\u044b \u0432 Wazuh \u2014 \u044d\u0442\u043e XML-\u043e\u043f\u0438\u0441\u0430\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0430\u0440\u0441\u044f\u0442 \u0441\u044b\u0440\u044b\u0435 \u043b\u043e\u0433\u0438 \u043e\u0442 \u0430\u0433\u0435\u043d\u0442\u043e\u0432 \u0438\u043b\u0438 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432 \u0438 \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u044e\u0442 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435: IP-\u0430\u0434\u0440\u0435\u0441\u0430, \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0438 \u0442.\u0434. \u0411\u0435\u0437 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432 Wazuh \u043d\u0435 \u043f\u043e\u0439\u043c\u0451\u0442, \u0447\u0442\u043e, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043b\u043e\u0433:<\/p>\n<pre><code>Jul 07 10:46:00 hostname MyApp[12345]: session=ABC123 action=connect srcip=192.168.1.10 user=alice<\/code><\/pre>\n<p>\u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f alice \u0441 IP 192.168.1.10.<\/p>\n<p><strong>\u041f\u0440\u043e\u0446\u0435\u0441\u0441 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u043b\u043e\u0433\u043e\u0432 \u0432 Wazuh \u0434\u0435\u043b\u0438\u0442\u0441\u044f \u043d\u0430 \u0434\u0432\u0430 \u044d\u0442\u0430\u043f\u0430<\/strong>:<\/p>\n<ol>\n<li>\n<p><strong>\u0414\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435<\/strong>: \u041f\u0430\u0440\u0441\u0438\u043d\u0433 \u043b\u043e\u0433\u043e\u0432 \u0438 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u0435\u0439 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432.<\/p>\n<\/li>\n<li>\n<p><strong>\u0410\u043d\u0430\u043b\u0438\u0437<\/strong>: \u041f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u043f\u0440\u0430\u0432\u0438\u043b \u0434\u043b\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0430\u043b\u0435\u0440\u0442\u043e\u0432.<\/p>\n<\/li>\n<\/ol>\n<p>\u0414\u0435\u043a\u043e\u0434\u0435\u0440\u044b \u0431\u044b\u0432\u0430\u044e\u0442 \u0434\u0432\u0443\u0445 \u0442\u0438\u043f\u043e\u0432:<\/p>\n<ul>\n<li>\n<p><strong>Root-\u0434\u0435\u043a\u043e\u0434\u0435\u0440\u044b<\/strong>: \u041e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u044e\u0442 \u043e\u0431\u0449\u0438\u0439 \u0444\u043e\u0440\u043c\u0430\u0442 \u043b\u043e\u0433\u0430 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, syslog \u0438\u043b\u0438 nginx).<\/p>\n<\/li>\n<li>\n<p><strong>Child-\u0434\u0435\u043a\u043e\u0434\u0435\u0440\u044b<\/strong>: \u0418\u0437\u0432\u043b\u0435\u043a\u0430\u044e\u0442 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0435 \u043f\u043e\u043b\u044f (IP, \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435, \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c).<\/p>\n<\/li>\n<\/ul>\n<p>Wazuh \u043f\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441 \u0441\u043e\u0442\u043d\u044f\u043c\u0438 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0445 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432 (\u043f\u043e \u043f\u0443\u0442\u0438 \/var\/ossec\/ruleset\/decoders), \u043d\u043e \u0434\u043b\u044f \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u0438\u043b\u0438 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432 \u043d\u0443\u0436\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u0441\u0432\u043e\u0438 \u0432 \/var\/ossec\/etc\/decoders. \u0418\u0445 \u0442\u0430\u043a\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0442\u044c \u0447\u0435\u0440\u0435\u0437 \u0432\u0435\u0431-\u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 <strong>Server Management -&gt; Decoders<\/strong>.<\/p>\n<h3>\u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432 \u0438 \u0438\u0445 \u043f\u043e\u043b\u044f<\/h3>\n<p>\u0414\u0435\u043a\u043e\u0434\u0435\u0440\u044b \u043f\u0438\u0448\u0443\u0442\u0441\u044f \u0432 XML, \u0438 \u0438\u0445 \u043e\u0441\u043d\u043e\u0432\u0430 \u2014 \u0442\u0435\u0433 &lt;decoder&gt; \u0441 \u0430\u0442\u0440\u0438\u0431\u0443\u0442\u0430\u043c\u0438 \u0438 \u0432\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u043c\u0438 \u0442\u0435\u0433\u0430\u043c\u0438. \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043f\u043e\u043b\u044f \u0438 \u0438\u0445 \u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 \u043b\u043e\u0433\u043e\u0432 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f MyApp:<\/p>\n<pre><code>Jul 07 10:46:00 hostname MyApp[12345]: session=ABC123 action=connect srcip=192.168.1.10 user=alice Jul 07 10:46:05 hostname MyApp[12345]: session=ABC123 action=auth status=failed error=invalid_password Jul 07 10:46:10 hostname MyApp[12345]: session=ABC123 action=auth status=success Jul 07 10:46:15 hostname MyApp[12345]: session=ABC125 action=upload file=\/opt\/MyAPP\/test.sh status=success Jul 07 10:46:20 hostname MyApp[12345]: session=ABC125 action=disconnect<\/code><\/pre>\n<h4>\u041e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u043f\u043e\u043b\u044f \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432<\/h4>\n<ol>\n<li>\n<p>&lt;decoder&gt;: \u0423\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u043e\u0435 \u0438\u043c\u044f \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u0430, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, myapp \u0434\u043b\u044f \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u0430 \u0438\u043b\u0438 myapp-connect \u0434\u043b\u044f \u0434\u043e\u0447\u0435\u0440\u043d\u0435\u0433\u043e.<\/p>\n<\/li>\n<li>\n<p>&lt;parent&gt;: \u0421\u0432\u044f\u0437\u044b\u0432\u0430\u0435\u0442 \u0434\u043e\u0447\u0435\u0440\u043d\u0438\u0439 \u0434\u0435\u043a\u043e\u0434\u0435\u0440 \u0441 \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u043c. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0439 \u0434\u0435\u043a\u043e\u0434\u0435\u0440 myapp \u0444\u0438\u043b\u044c\u0442\u0440\u0443\u0435\u0442 \u0432\u0441\u0435 \u043b\u043e\u0433\u0438 MyApp, \u0430 \u0434\u043e\u0447\u0435\u0440\u043d\u0438\u0439 myapp-connect \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f (action=connect).<\/p>\n<\/li>\n<li>\n<p>&lt;program_name&gt;: \u0424\u0438\u043b\u044c\u0442\u0440\u0443\u0435\u0442 \u043b\u043e\u0433\u0438 \u043f\u043e \u0438\u043c\u0435\u043d\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u0432 Syslog-\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0435 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, MyApp). \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u044b\u0435 \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u044f (osmatch, osregex, pcre2). \u0420\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c pcre2 \u0434\u043b\u044f \u0433\u0438\u0431\u043a\u043e\u0441\u0442\u0438, \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0435\u0441\u043b\u0438 \u0438\u043c\u044f \u0432\u0430\u0440\u044c\u0438\u0440\u0443\u0435\u0442\u0441\u044f (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, MyApp \u0438\u043b\u0438 myapp).<\/p>\n<\/li>\n<li>\n<p>&lt;prematch&gt;: \u041f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u043d\u0430\u0447\u0430\u043b\u043e \u043b\u043e\u0433\u0430 (\u0438\u043b\u0438 \u0447\u0430\u0441\u0442\u044c \u043f\u043e\u0441\u043b\u0435 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 \u0434\u043b\u044f Syslog). \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;prematch&gt;session=\\S+&lt;\/prematch&gt; \u0444\u0438\u043b\u044c\u0442\u0440\u0443\u0435\u0442 \u043b\u043e\u0433\u0438 \u0441 session=&#8230;. \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u0430\u0442\u0440\u0438\u0431\u0443\u0442 offset=&#187;after_parent&#187; \u0434\u043b\u044f \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u0430 \u0447\u0430\u0441\u0442\u0438, \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u043e\u0439 \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u043c \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u043c.<\/p>\n<\/li>\n<li>\n<p>&lt;regex&gt;: \u0418\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 \u043f\u043e\u043b\u044f \u0438\u0437 \u043b\u043e\u0433\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u044b\u0445 \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u0439. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;regex&gt;session=(\\S+) user=(\\S+)&lt;\/regex&gt; \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 session=ABC123 \u0438 user=alice. \u0410\u0442\u0440\u0438\u0431\u0443\u0442 offset=&#187;after_prematch&#187; \u0438\u043b\u0438 after_parent \u0443\u0441\u043a\u043e\u0440\u044f\u0435\u0442 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443, \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u0430\u044f \u0443\u0436\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u0435\u043d\u043d\u044b\u0435 \u0447\u0430\u0441\u0442\u0438.<\/p>\n<\/li>\n<li>\n<p>&lt;order&gt;: \u0417\u0430\u0434\u0430\u0451\u0442 \u0438\u043c\u0435\u043d\u0430 \u043f\u043e\u043b\u0435\u0439, \u0438\u0437\u0432\u043b\u0435\u0447\u0451\u043d\u043d\u044b\u0445 &lt;regex&gt;. \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442:<\/p>\n<ul>\n<li>\n<p><strong>\u0421\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043f\u043e\u043b\u044f<\/strong>: srcip, user, action, status (\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f Wazuh \u0432 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u0445 \u0438 \u0434\u0430\u0448\u0431\u043e\u0440\u0434\u0430\u0445).<\/p>\n<\/li>\n<li>\n<p><strong>\u0414\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043f\u043e\u043b\u044f<\/strong>: \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, myapp.session (\u0434\u043b\u044f \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0438 \u0438\u0437\u0431\u0435\u0436\u0430\u043d\u0438\u044f \u043a\u043e\u043d\u0444\u043b\u0438\u043a\u0442\u043e\u0432 \u0432 Wazuh Indexer).<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p>&lt;accumulate&gt;: \u0421\u0432\u044f\u0437\u044b\u0432\u0430\u0435\u0442 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043f\u043e \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u043e\u043c\u0443 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u0443 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, session=ABC123), \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u044f \u043f\u043e\u043b\u044f (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, srcip, user) \u043a \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043b\u043e\u0433\u0430\u043c \u043e\u0434\u043d\u043e\u0439 \u0441\u0435\u0441\u0441\u0438\u0438.<\/p>\n<\/li>\n<li>\n<p>&lt;fts&gt;<strong> \u0438 <\/strong>&lt;ftscomment&gt;: \u0413\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u044e\u0442 \u0430\u043b\u0435\u0440\u0442 \u043f\u0440\u0438 \u043f\u0435\u0440\u0432\u043e\u043c \u043f\u043e\u044f\u0432\u043b\u0435\u043d\u0438\u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u044f (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043d\u043e\u0432\u043e\u0435 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u0441 IP). &lt;ftscomment&gt; \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u043f\u043e\u044f\u0441\u043d\u0435\u043d\u0438\u0435 \u043a \u0430\u043b\u0435\u0440\u0442\u0443, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &#171;\u041f\u0435\u0440\u0432\u043e\u0435 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u0441 \u043d\u043e\u0432\u043e\u0433\u043e IP&#187;.<\/p>\n<\/li>\n<li>\n<p>&lt;plugin_decoder&gt;: \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0441\u043b\u043e\u0436\u043d\u044b\u0445 \u0444\u043e\u0440\u043c\u0430\u0442\u043e\u0432 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, JSON). \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;plugin_decoder&gt;JSON_Decoder&lt;\/plugin_decoder&gt; \u043f\u0430\u0440\u0441\u0438\u0442 JSON-\u043b\u043e\u0433\u0438, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a:<\/p>\n<\/li>\n<\/ol>\n<pre><code>Jul 07 10:46:00 hostname MyApp[12345]: {\"session\":\"ABC123\",\"user\":\"alice\",\"action\":\"connect\"}<\/code><\/pre>\n<p> 10. &lt;use_own_name&gt;: \u041f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0434\u043e\u0447\u0435\u0440\u043d\u0435\u043c\u0443 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u0443 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u0432\u043e\u0451 \u0438\u043c\u044f \u0432 \u0430\u043b\u0435\u0440\u0442\u0430\u0445 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, myapp-connect \u0432\u043c\u0435\u0441\u0442\u043e myapp).<\/p>\n<p>11. &lt;json_null_field&gt;<strong> \u0438 <\/strong>&lt;json_array_structure&gt;: \u0423\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0442 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u043e\u0439 JSON-\u043b\u043e\u0433\u043e\u0432. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;json_null_field&gt;string&lt;\/json_null_field&gt; \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u0443\u0435\u0442 null \u0432 \u0441\u0442\u0440\u043e\u043a\u0443 &#171;null&#187;, \u0430 &lt;json_array_structure&gt;csv&lt;\/json_array_structure&gt; \u043a\u043e\u043d\u0432\u0435\u0440\u0442\u0438\u0440\u0443\u0435\u0442 \u043c\u0430\u0441\u0441\u0438\u0432\u044b \u0432 \u0441\u0442\u0440\u043e\u043a\u0438 \u0441 \u0437\u0430\u043f\u044f\u0442\u044b\u043c\u0438.<\/p>\n<p>12. &lt;var&gt;: \u041e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;var name=&#187;SESSION_PATTERN&#187;&gt;session=\\S+&lt;\/var&gt;) \u0434\u043b\u044f \u0443\u043f\u0440\u043e\u0449\u0435\u043d\u0438\u044f \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u044b\u0445 \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u0439.<\/p>\n<h3>\u0422\u0438\u043f\u044b \u043b\u043e\u0433\u043e\u0432 \u0438  \u0432 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u0430\u0445<\/h3>\n<p>\u0422\u0435\u0433 &lt;type&gt; \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0444\u043e\u0440\u043c\u0430\u0442 \u043b\u043e\u0433\u0430, \u0447\u0442\u043e\u0431\u044b Wazuh \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e \u0435\u0433\u043e \u043f\u0430\u0440\u0441\u0438\u043b \u0438 \u0441\u0432\u044f\u0437\u044b\u0432\u0430\u043b \u0441 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 \u0447\u0435\u0440\u0435\u0437 &lt;category&gt;. \u0411\u0435\u0437 \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e\u0433\u043e &lt;type&gt; \u043b\u043e\u0433 \u043c\u043e\u0436\u0435\u0442 \u043d\u0435 \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u0442\u044c\u0441\u044f, \u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043d\u0435 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442. \u0421\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 8 \u0442\u0438\u043f\u043e\u0432:<\/p>\n<h4>\u0422\u0438\u043f\u044b \u0441 Syslog-\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u043c (\u0436\u0434\u0443\u0442 \u0434\u0430\u0442\u0443, \u0445\u043e\u0441\u0442, \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443)<\/h4>\n<ol>\n<li>\n<p><strong>Syslog<\/strong>: \u0414\u043b\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0445 \u043b\u043e\u0433\u043e\u0432 \u0438\u043b\u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439.<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: Jul 07 10:46:00 hostname MyApp: session=ABC123 action=connect<br \/>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 \u0434\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u0441 Syslog-\u0444\u043e\u0440\u043c\u0430\u0442\u043e\u043c.<\/p>\n<\/li>\n<li>\n<p><strong>Firewall<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u0431\u0440\u0430\u043d\u0434\u043c\u0430\u0443\u044d\u0440\u043e\u0432 (iptables, Cisco ASA).<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: Jul 07 10:46:00 firewall1 iptables: DROP src=192.168.1.10 dst=10.0.0.5<br \/>\u041d\u0443\u0436\u0435\u043d \u0434\u043b\u044f \u043f\u0440\u0430\u0432\u0438\u043b \u043f\u043e \u0441\u0435\u0442\u0435\u0432\u044b\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u043c.<\/p>\n<\/li>\n<li>\n<p><strong>IDS<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0432\u0442\u043e\u0440\u0436\u0435\u043d\u0438\u0439 (Snort, Suricata).<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: Jul 07 10:46:00 ids1 snort: [1:1001:0] Portscan src=192.168.1.10<br \/>\u0414\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0430\u0442\u0430\u043a.<\/p>\n<\/li>\n<li>\n<p><strong>Host-information<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 (CPU, \u043f\u0430\u043c\u044f\u0442\u044c).<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: Jul 07 10:46:00 host1 monitor: cpu=25% mem=4GB<br \/>\u0414\u043b\u044f \u043c\u0435\u0442\u0440\u0438\u043a \u0445\u043e\u0441\u0442\u0430.<\/p>\n<\/li>\n<li>\n<p><strong>Windows<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 Windows Event Log.<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: Jul 07 10:46:00 winhost Security: EventID=4624 User=alice<br \/>\u0414\u043b\u044f \u0441\u043e\u0431\u044b\u0442\u0438\u0439 Windows.<\/p>\n<\/li>\n<\/ol>\n<h4>\u0422\u0438\u043f\u044b \u0431\u0435\u0437 Syslog-\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430 (\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u044e\u0442 \u0432\u0435\u0441\u044c \u043b\u043e\u0433)<\/h4>\n<ol start=\"6\">\n<li>\n<p><strong>Web-log<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u0432\u0435\u0431-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 (Apache, Nginx).<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: 192.168.1.10 &#8212; &#8212; [07\/Jul\/2025:10:46:00 +0200] &#171;GET \/index.html&#187; 200 1024<br \/>\u0414\u043b\u044f HTTP-\u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432.<\/p>\n<\/li>\n<li>\n<p><strong>Squid<\/strong>: \u0414\u043b\u044f \u043b\u043e\u0433\u043e\u0432 \u043f\u0440\u043e\u043a\u0441\u0438 Squid.<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: 1628339160.123 192.168.1.10 TCP_MISS\/200 4096 GET http:\/\/example.com\/<br \/>\u0414\u043b\u044f \u0432\u0435\u0431-\u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0447\u0435\u0440\u0435\u0437 \u043f\u0440\u043e\u043a\u0441\u0438.<\/p>\n<\/li>\n<li>\n<p><strong>Ossec<\/strong>: \u0414\u043b\u044f \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0445 \u043b\u043e\u0433\u043e\u0432 \u0431\u0435\u0437 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0433\u043e \u0444\u043e\u0440\u043c\u0430\u0442\u0430.<br \/>\u041f\u0440\u0438\u043c\u0435\u0440: [MyApp] session=XYZ789 action=connect srcip=192.168.1.10<br \/>\u0414\u043b\u044f \u043d\u0435\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0445 \u043b\u043e\u0433\u043e\u0432.<\/p>\n<\/li>\n<\/ol>\n<p><strong>\u0417\u0430\u0447\u0435\u043c <\/strong>&lt;type&gt;<strong>?<\/strong> \u041e\u043d \u0441\u0432\u044f\u0437\u044b\u0432\u0430\u0435\u0442 \u0434\u0435\u043a\u043e\u0434\u0435\u0440 \u0441 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 \u0447\u0435\u0440\u0435\u0437 &lt;category&gt; (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, &lt;category&gt;firewall&lt;\/category&gt; \u0442\u0440\u0435\u0431\u0443\u0435\u0442 &lt;type&gt;firewall&lt;\/type&gt;). \u0414\u0430\u0436\u0435 \u0434\u043b\u044f Syslog-\u043b\u043e\u0433\u043e\u0432 (firewall, ids, host-information) &lt;type&gt; \u0432\u0430\u0436\u0435\u043d, \u0447\u0442\u043e\u0431\u044b \u0430\u043a\u0442\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0443\u0436\u043d\u044b\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430.<\/p>\n<h3>\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/h3>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u0432\u044b \u0437\u043d\u0430\u0435\u0442\u0435, \u043a\u0430\u043a \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u044b Wazuh, \u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u043b\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0438 \u043a\u0430\u043a \u0432\u044b\u0431\u0440\u0430\u0442\u044c &lt;type&gt; \u0434\u043b\u044f \u043b\u043e\u0433\u043e\u0432. \u0412 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u0447\u0430\u0441\u0442\u0438 \u043c\u044b \u0441\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u0434\u0435\u043a\u043e\u0434\u0435\u0440 \u0434\u043b\u044f OPNsense \u0438 \u0440\u0430\u0437\u0431\u0435\u0440\u0451\u043c \u0440\u0435\u0434\u0430\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0435\u0444\u043e\u043b\u0442\u043d\u044b\u0445 \u0434\u0435\u043a\u043e\u0434\u0435\u0440\u043e\u0432.<\/p>\n<p>\ud83d\udcac \u041a\u0430\u043a\u0438\u0435 \u043b\u043e\u0433\u0438 \u0432\u044b \u0445\u043e\u0442\u0438\u0442\u0435 \u043f\u0430\u0440\u0441\u0438\u0442\u044c? \u041f\u0438\u0448\u0438\u0442\u0435 \u0432 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f\u0445! \u041a\u0430\u043a\u0438\u0435 \u0438\u043d\u0442\u0435\u0433\u0440\u0430\u0446\u0438\u0438 \u0438\u043b\u0438 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u0432\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0435 \u0441 Wazuh?<\/p>\n<p>\ud83d\udccc \u041f\u043e\u043b\u0435\u0437\u043d\u044b\u0435 \u0441\u0441\u044b\u043b\u043a\u0438:<\/p>\n<ul>\n<li>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/ruleset\/ruleset-xml-syntax\/decoders.html?highlight=decoders\" rel=\"noopener noreferrer nofollow\">\u0414\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u044f Wazuh<\/a><\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/regex101.com\/\" rel=\"noopener noreferrer nofollow\">\u0422\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u044b\u0445 \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u0439<\/a><\/p>\n<\/li>\n<\/ul>\n<\/div>\n<\/div>\n<\/div>\n<p><!----><!----><\/div>\n<p><!----><!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/articles\/928014\/\"> https:\/\/habr.com\/ru\/articles\/928014\/<\/a><br \/><\/br><\/br><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-467115","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/467115","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=467115"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/467115\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=467115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=467115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=467115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}