H2FSpawn/wazuh-mikrotik-decoder

# wazuh-mikrotik-decoder 用于 MikroTik RouterOS syslog 输出的 Wazuh 解码器和检测规则。 RouterOS 使用的是 Wazuh 内置解析器无法理解的 syslog 格式。 防火墙拦截、DHCP 租约、系统事件——所有这些都会变成非结构化的 噪音，除非你有一个知道该寻找什么的解码器。这就是那个解码器。 ## 覆盖范围 三种 syslog 主题，并进行结构化字段提取： - **Firewall** —— 源 IP、源端口、目的 IP 和目的端口；drop 检测（规则 110001–110002） - **DHCP** —— 包含 IP、MAC 地址和客户端主机名的已分配租约事件（规则 110003）；其他 DHCP 事件（提供 offer、取消分配 deassigned）可以匹配但不进行字段提取 - **System** —— 常规 RouterOS 系统消息、登录失败检测、暴力破解检测、接口 down 事件（规则 110004–110007） 已在 RouterOS 7.x 和 Wazuh 4.12–4.14 上测试。 ## 安装 **Wazuh manager：** ``` cp decoders/mikrotik_decoder.xml /var/ossec/etc/decoders/ cp rules/mikrotik_rules.xml /var/ossec/etc/rules/ systemctl restart wazuh-manager ``` 如果尚未配置，请在 `/var/ossec/etc/ossec.conf` 中添加一个 syslog 监听器： ``` syslog 514 udp 192.168.0.0/16 ``` 请将 `allowed-ips` 限制为你自己的网络。UDP 514 端口绝对不应能从互联网访问。 **MikroTik：** 有关完整的 RouterOS 配置，请参阅 [docs/mikrotik-syslog-setup.md](docs/mikrotik-syslog-setup.md)。 ## 测试 在 `test-logs/test-logs.txt` 中提供了所有支持事件类型的示例日志行。 将它们与 `wazuh-logtest` 一起使用，以验证解码器和规则是否正常工作： ``` /var/ossec/bin/wazuh-logtest ``` 一次粘贴一行，并检查 Phase 2 是否包含预期的解码字段。 ## 已知限制 **Firewall：TCP flag 注释会阻止字段提取** RouterOS 可能会在协议后附加如 `(SYN)` 或 `(ACK)` 的 TCP flag （例如 `proto TCP (SYN), 1.2.3.4:54321`）。当存在 TCP flag 注释时， firewall 解码器不会提取 IP 字段。事件仍然会匹配并触发 规则——只有字段提取会受到影响。 将 RouterOS 防火墙日志配置为不包含 TCP flag 注释，以确保始终提取 srcip、srcport、dstip 和 dstport。 有关推荐的 RouterOS 日志配置，请参阅 [docs/mikrotik-syslog-setup.md](docs/mikrotik-syslog-setup.md)。 **DHCP：仅对已分配的租约事件进行字段提取** DHCP 解码器仅从 `assigned` 租约行中提取 IP、MAC 和客户端主机名。 其他 DHCP 事件（`offering`、`deassigned` 等）匹配 规则 110003 但不进行字段提取。客户端主机名存储在 `extra_data2` 中（而不是 `hostname` 字段，该字段由 Wazuh 保留用于 预解码阶段）。 **仅限独立解码器** 当父解码器仅通过 `prematch` 定义时，父子解码器结构是不可靠的。 因此，这里的所有解码器均为独立解码器。 **RouterOS syslog 时间戳** RouterOS 在 BSD syslog 时间戳中省略了年份。Wazuh 可以正确处理此问题， 但在首次启动时可能会记录解析警告。这仅是外观上的问题。 ## 贡献 请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 许可证 MIT —— 详见 [LICENSE](LICENSE)。

标签：MikroTik, Wazuh, 日志解析, 红队行动, 规则配置, 证书伪造