Зачем нужен Wazuh - ESGuardian/LittleBeat GitHub Wiki

Основное назначение - сбор журналов событий с машин Linux, в том числе логов веб-серверов, которые хостятся на Linux. А еще он умеет обрабатывать логи VMware ESX, Cisco ASA, и т.д. и т.п. Практически со всего сущего. С Windows тоже умеет, но беда в том, что стандартый декодер логов Windows рассчитан на английский язык. Для русской Windows он не годится. В этом отношении winlogbeat намного эффективнее, ему всё равно на каком языке система.
Но это еще не всё. Еще он умеет контролировать целостность программной среды, то есть считать контрольные суммы файлов и следить за их изменением. В том числе обнаруживать root kits. А еще умеет коррелиовать события, например, отслеживать многократные попытки подключения по SSH с неверными учетными данными. То есть это машинка для обнаружения вторжений.
А еще он умеет проводить аудит настроек операционной системы на соответствие рекомендациям CIS и требованиям PCI DSS
Ну и в качестве вишенки на торте поддержка OpenSCAP для обнаружения уязвимостей.

Home
Wazuh HostIDS Addon
Установка агентов Wazuh
OSSEC агент на русской Windows
Использование OpenSCAP
Сбор логов сетевых устройств