→ retour à Wazuh: HIDS

But

Wazuh dispose d'un interface de type HTTP qui permet d'interagir avec Wazuh Manager. Cette fonctionnalité est incluse dans le service "wazuh-manager.service". On peut l'utiliser dans scripts comme on le verra ci-dessous et dans divers autres articles. Mais il est principalement utilisé dans l'interface utilisateur Web (WUI) de Wazuh nommé "Wazuh-Dashboard".

Configuration

Sa configuration est contenue dans le fichier "/var/ossec/api/configuration/api.yaml".

Il écoute par défaut sur le port TCP 55000 de tous les interfaces réseaux présents sur la machine manager.

La commande suivante qui liste les ports en écoute:

netstat -ntl

donne pour notre cas:

tcp        0      0    0.0.0.0:55000         0.0.0.0:*               LISTEN

On peut suivre toute activité par cet interface dans le fichier journal "/var/ossec/logs/api.log".

Par la suite, nous installerons l'interface utilisateur Web (WUI) sur la même machine que celle où Wazuh Manager s'exécute. Et donc, par sécurité, nous allons limiter l'écoute réseau à la machine locale. Pour cette raison, nous allons ajouter, en début du fichier de configuration, la ligne suivante:

host: 127.0.0.1

Après redémarrage du service Wazuh-manager.service, la commande émise ci-dessus:

netstat -ntl

donne maintenant:

tcp        0      0   127.0.0.1:55000         0.0.0.0:*               LISTEN

→ retour à Wazuh: HIDS