Для объединения систем мониторинга инфраструктуры и безопасности, таких как Zabbix и Wazuh, существуют два основных метода интеграции. Первый метод использует API Zabbix через метод
Второй метод базируется на утилите
При интеграции через API используется метод
При использовании
history.push, позволяющий напрямую отправлять события из Wazuh в Zabbix как значения элементов данных. Этот способ требует создания шаблона в Zabbix, пользователя с API-токеном и настройки каналов уведомлений в Wazuh для отправки POST-запросов с данными об инцидентах. Изображение носит иллюстративный характер
Второй метод базируется на утилите
zabbix_sender, что актуально для старых версий Zabbix до 7. В этом случае на сервере Wazuh создается интеграционный скрипт, который анализирует события и через zabbix_sender пересылает их в Zabbix. Этот метод предполагает создание Zabbix траппер элемента данных и соответствующую настройку скрипта на Wazuh. Оба подхода требуют установки Zabbix агента на сервере Wazuh. При интеграции через API используется метод
history.push Zabbix, куда отправляется JSON-запрос с идентификатором элемента данных и содержимым сообщения об инциденте. Для этого настраивается канал в Wazuh, который отправляет POST-запрос на API-эндпоинт Zabbix. В запросе указывается ID элемента данных в Zabbix, куда будут попадать сообщения, а также API-токен для авторизации. При использовании
zabbix_sender, скрипт на Wazuh анализирует события, формирует сообщения и отправляет их в Zabbix, используя команду zabbix_sender. В скрипте определяется условие срабатывания для выбранных групп событий. В Zabbix должен быть настроен траппер элемент данных для получения этих сообщений. Примером служит фильтрация событий с ID 104 и 1102, что соответствует очистке журналов.