AI SECURITY logo AI SECURITY
Wazuh Syslog rsyslog Agentless SIEM Redes

Configurar Equipos sin Agente en Wazuh con Syslog

Monitoriza routers, switches, NAS y dispositivos sin agente usando rsyslog como collector. Configuración completa con templates, filtros y Wazuh.

AI Security
8 min lectura
Background

Para monitorizar equipos sin agente en Wazuh (routers, switches, NAS, firewalls), configura un servidor Linux con rsyslog como Syslog Collector: el dispositivo envía sus logs al puerto 514, rsyslog los organiza en ficheros y el agente Wazuh los reenvía al servidor SIEM.

¿Cómo es la arquitectura de la solución?

Equipos sin agente -----> Linux + rsyslog -----> Wazuh Server
(routers, switches)       (Syslog Collector)     (SIEM)
        |                       |
    Puerto 514           /var/log/remote/
Video: Configurar Equipos sin Agente en Wazuh
Contenido del curso

Video: Equipos sin Agente

20 minutos - Configuración completa

Ver en el Curso Wazuh

Accede al video completo con el curso de Wazuh

¿Cómo instalar y configurar rsyslog?

En el servidor Linux que actuará como collector, instala rsyslog y habilita la recepción de logs remotos. 

# Instalar rsyslog
apt update && apt install rsyslog -y

# Editar /etc/rsyslog.conf y descomentar:
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")

# Reiniciar servicio
systemctl restart rsyslog && systemctl enable rsyslog
Ver comandos en el Curso

¿Cómo configurar el firewall con iptables?

Permite conexiones al puerto 514 solo desde los equipos autorizados para mayor seguridad. 

# Permitir desde equipos específicos
iptables -A INPUT -p udp -s 192.168.1.1 --dport 514 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.1 --dport 514 -j ACCEPT

# Bloquear el resto
iptables -A INPUT -p udp --dport 514 -j DROP
iptables -A INPUT -p tcp --dport 514 -j DROP

# Guardar reglas
apt install iptables-persistent -y && netfilter-persistent save
Ver comandos en el Curso

¿Cómo organizar logs con templates y filtros?

Configura rsyslog para guardar los logs en ficheros separados según el origen (NAS, router, switch, etc.) usando templates y filtros IF. 

# Templates para logs organizados
$template NASLogs,"/var/log/remote/nas.log"
$template RouterLogs,"/var/log/remote/router.log"
$template LogFormat,"%TIMESTAMP% %HOSTNAME% %msg%\n"

# Filtros condicionales
if $fromhost-ip != '127.0.0.1' then {
    if $msg contains "NAS:" then {
        ?NASLogs;LogFormat
        stop
    }
    if $fromhost-ip == '192.168.1.1' then {
        ?RouterLogs;LogFormat
        stop
    }
}
Ver comandos en el Curso

¿Cómo integrar los logs de syslog con Wazuh?

Añade los nuevos ficheros de log al agente Wazuh para que los monitorice y envíe al servidor SIEM. 

# Editar /var/ossec/etc/ossec.conf
# Añadir dentro de <ossec_config>:

<localfile>
  <log_format>syslog</log_format>
  <location>/var/log/remote/nas.log</location>
</localfile>

<localfile>
  <log_format>syslog</log_format>
  <location>/var/log/remote/router.log</location>
</localfile>

# Reiniciar agente
systemctl restart wazuh-agent
Ver comandos en el Curso

¿Cómo es el flujo completo de logs?

  1. El dispositivo (NAS, router, etc.) envía logs al puerto 514
  2. rsyslog los recibe y filtra según las reglas configuradas
  3. Los logs se escriben en ficheros separados
  4. El agente Wazuh monitoriza esos ficheros
  5. Los logs se envían al servidor Wazuh para análisis

¿Qué dispositivos son compatibles con este método?

  • Routers: Cisco, MikroTik, Ubiquiti
  • Switches: HP, Dell, Cisco
  • Firewalls: pfSense, FortiGate, OPNsense
  • NAS: Synology, QNAP, TrueNAS
  • Impresoras de red con soporte syslog
  • Dispositivos IoT y sistemas legacy

Accede a la configuración completa

En el curso tienes los comandos completos, ejemplos de configuración para cada tipo de dispositivo, y vídeo paso a paso.

Ver Curso Wazuh - 50 EUR Implementación profesional

Artículos relacionados:

Background
Volver al blog