Skip to content

ESP - Manual para Configurar la Funcionalidad de Ver en Detalle los Logs en Wazuh

Elaborado por:

Departamento de Seguridad Líder del Equipo: Carlos David Vall-lloseras Reyes Versión: 1.0
Fecha de elaboración: 2025-06-18

Contactos Principales:
Carlos David Vall-lloseras Reyes (carlos.dvr@avangenio.com, +5350762104)
Josuan Reinoso Rodríguez (josuan.rr@avangenio.com, +5356597557)
Maricarla Villalón Martínez (maricarla.vm@avangenio.com, +5354399210)

Pasos para Configurar la Visualización de Logs

1. Iniciar sesión en Wazuh

  • Acceder a la interfaz web de Wazuh utilizando las credenciales correspondientes.
Figura 1: Interfaz de inicio de sesión en Wazuh
Figura 1: Interfaz de inicio de sesión en Wazuh

2. Abrir Discover

  • Hacer clic en el menú lateral (ícono de tres líneas).
  • Seleccionar la opción Discover.
Figura 2: Acceso a Discover desde el menú lateral
Figura 2: Acceso a Discover desde el menú lateral

3. Añadir filtro por agentes existentes

  • Hacer clic en Add filter.
  • Campo: agent.name
  • Operador: exists
  • Hacer clic en Save para aplicar el filtro.
Figura 3: Añadir filtro para solo agentes existentes
Figura 3: Añadir filtro para solo agentes existentes

4. Seleccionar campos para mostrar en la tabla

  • Hacer clic en el botón + (Add field) en la barra lateral.
  • Añadir los siguientes campos recomendados:
  • agent.name
  • agent.id
  • agent.ip
  • data.srcip
  • rule.description
  • rule.level
Figura 4: Seleccionar campos recomendados para la tabla
Figura 4: Seleccionar campos recomendados para la tabla

5. Guardar la búsqueda

  • Hacer clic en Save (arriba a la derecha).
  • Asignar el nombre Full-test.
  • Confirmar.
Figura 5: Guardar la búsqueda Full-test
Figura 5: Guardar la búsqueda Full-test

Crear un Dashboard Personalizado

6. Ir a la sección de Dashboards

  • Desde el menú lateral, seleccionar Dashboards.
Figura 6: Acceso a Dashboards desde el menú lateral
Figura 6: Acceso a Dashboards desde el menú lateral

7. Crear un nuevo Dashboard

  • Hacer clic en Create new.
Figura 7: Crear un nuevo Dashboard
Figura 7: Crear un nuevo Dashboard

8. Añadir la búsqueda guardada como panel

  • Hacer clic en Add en la parte superior.
  • Buscar y seleccionar la búsqueda Full-test para añadirla al dashboard.
Figura 8: Añadir la búsqueda Full-test al Dashboard
Figura 8: Añadir la búsqueda Full-test al Dashboard

9. Guardar el Dashboard

  • Hacer clic en Save (esquina superior derecha).
  • Asignar el nombre Dashboard Full-test.
Figura 9: Guardar el Dashboard personalizado
Figura 9: Guardar el Dashboard personalizado

Resultado Esperado

Al finalizar, tendrás un dashboard que muestra los logs filtrados por agentes existentes y los campos relevantes en formato de tabla.

Figura 10: Vista final del Dashboard con Full-test
Figura 10: Vista final del Dashboard con Full-test

Recomendaciones Finales

  • Usa nombres descriptivos al guardar búsquedas y dashboards.
  • Aplica filtros adicionales como rule.level >= 10 o data.srcip:"IP" para investigar incidentes.
  • Exporta o comparte el dashboard con tu equipo.

"Monitorear con precisión los logs mejora la detección de amenazas y optimiza la respuesta ante incidentes."