AI SECURITY logo AI SECURITY
Background
Wazuh Syslog rsyslog Agentless SIEM Redes

Configurar Equipos sin Agente en Wazuh con Syslog

Monitoriza routers, switches, NAS y dispositivos sin agente usando rsyslog como collector. Configuración completa con templates, filtros y Wazuh.

AI Security
8 min lectura
Background

Introducción

Esta guía explica cómo monitorizar equipos que no pueden tener un agente Wazuh (routers, switches, firewalls, NAS, impresoras de red). La solución es configurar un servidor Linux como Syslog Collector que recibe los logs y los envía a Wazuh.

Video: Configurar Equipos sin Agente en Wazuh
Contenido del curso

Video: Equipos sin Agente

20 minutos - Configuración completa

Ver en el Curso Wazuh

Accede al video completo con el curso de Wazuh

Arquitectura de la solución

Equipos sin agente -----> Linux + rsyslog -----> Wazuh Server
(routers, switches)       (Syslog Collector)     (SIEM)
        |                       |
    Puerto 514           /var/log/remote/

1. Instalar y configurar rsyslog

En el servidor Linux que actuará como collector, instala rsyslog y habilita la recepción de logs remotos. 

# Instalar rsyslog
apt update && apt install rsyslog -y

# Editar /etc/rsyslog.conf y descomentar:
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")

# Reiniciar servicio
systemctl restart rsyslog && systemctl enable rsyslog
Ver comandos en el Curso

2. Configurar firewall (iptables)

Permite conexiones al puerto 514 solo desde los equipos autorizados para mayor seguridad. 

# Permitir desde equipos específicos
iptables -A INPUT -p udp -s 192.168.1.1 --dport 514 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.1 --dport 514 -j ACCEPT

# Bloquear el resto
iptables -A INPUT -p udp --dport 514 -j DROP
iptables -A INPUT -p tcp --dport 514 -j DROP

# Guardar reglas
apt install iptables-persistent -y && netfilter-persistent save
Ver comandos en el Curso

3. Organizar logs con templates y filtros

Configura rsyslog para guardar los logs en ficheros separados según el origen (NAS, router, switch, etc.) usando templates y filtros IF. 

# Templates para logs organizados
$template NASLogs,"/var/log/remote/nas.log"
$template RouterLogs,"/var/log/remote/router.log"
$template LogFormat,"%TIMESTAMP% %HOSTNAME% %msg%\n"

# Filtros condicionales
if $fromhost-ip != '127.0.0.1' then {
    if $msg contains "NAS:" then {
        ?NASLogs;LogFormat
        stop
    }
    if $fromhost-ip == '192.168.1.1' then {
        ?RouterLogs;LogFormat
        stop
    }
}
Ver comandos en el Curso

4. Integrar con Wazuh

Añade los nuevos ficheros de log al agente Wazuh para que los monitorice y envíe al servidor SIEM. 

# Editar /var/ossec/etc/ossec.conf
# Añadir dentro de <ossec_config>:

<localfile>
  <log_format>syslog</log_format>
  <location>/var/log/remote/nas.log</location>
</localfile>

<localfile>
  <log_format>syslog</log_format>
  <location>/var/log/remote/router.log</location>
</localfile>

# Reiniciar agente
systemctl restart wazuh-agent
Ver comandos en el Curso

Flujo completo

  1. El dispositivo (NAS, router, etc.) envía logs al puerto 514
  2. rsyslog los recibe y filtra según las reglas configuradas
  3. Los logs se escriben en ficheros separados
  4. El agente Wazuh monitoriza esos ficheros
  5. Los logs se envían al servidor Wazuh para análisis

Ejemplos de dispositivos compatibles

  • Routers: Cisco, MikroTik, Ubiquiti
  • Switches: HP, Dell, Cisco
  • Firewalls: pfSense, FortiGate, OPNsense
  • NAS: Synology, QNAP, TrueNAS
  • Impresoras de red con soporte syslog
  • Dispositivos IoT y sistemas legacy

Accede a la configuración completa

En el curso tienes los comandos completos, ejemplos de configuración para cada tipo de dispositivo, y vídeo paso a paso.

Ver Curso Wazuh - 50 EUR Implementación profesional

Artículos relacionados:

Background
Volver al blog