Wazuh与OpenVAS日志收集问题分析与解决方案

问题背景

在使用Wazuh监控OpenVAS扫描报告时，用户发现通过cron定时任务执行的脚本无法稳定地将日志写入Wazuh的archive.log文件中，而手动执行脚本则能正常工作。这一问题影响了安全扫描结果的自动化监控流程。

技术分析

脚本功能解析

用户提供的bash脚本主要完成以下功能：

1. 通过gvm-cli工具从OpenVAS获取扫描报告
2. 使用xmlstarlet解析XML报告，提取关键问题信息
3. 将问题信息转换为JSON格式并保存到指定目录
4. 记录处理过程的日志信息

问题根源探究

经过分析，可能导致日志收集不稳定的原因包括：

1. 文件轮换问题：脚本每次生成不同名称的JSON文件（基于report_id），而Wazuh的日志收集器可能无法及时跟踪新创建的文件。

2. 权限与执行环境差异：cron执行环境与手动执行环境存在差异，可能导致文件访问权限或路径解析问题。

3. 日志收集器配置：当前的ossec.conf配置监控/var/log/gvm/reports/*.json模式，这种动态文件名模式可能导致Wazuh日志收集器无法可靠捕获所有文件变更。

4. 日志处理延迟：Wazuh日志收集器默认每2分钟检查一次文件变更，可能导致部分日志未被及时捕获。

解决方案

方案一：使用固定日志文件

建议修改脚本，将所有输出追加到单个固定名称的日志文件中：

1. 修改脚本中的JSON_FILE路径为固定名称，如/var/log/gvm/reports/scan_results.json
2. 使用追加模式写入日志（>>操作符）
3. 确保Wazuh配置监控这个固定文件路径

方案二：优化日志收集配置

1. 调整Wazuh的日志检查频率，在ossec.conf中减小frequency参数值
2. 为OpenVAS日志添加专用配置段，明确指定文件路径和日志格式

方案三：脚本执行后触发日志收集

在脚本末尾添加命令，显式通知Wazuh重新加载日志收集配置：

/var/ossec/bin/wazuh-control restart

实施建议

1. 日志文件管理：

   • 使用logrotate管理生成的日志文件
   • 定期归档或清理旧日志，避免单个文件过大

2. 错误处理增强：

   • 在脚本中添加更详细的错误处理逻辑
   • 记录脚本执行时的环境变量和用户上下文

3. 权限配置：

   • 确保cron任务执行用户对日志目录有读写权限
   • 检查SELinux或AppArmor是否限制了文件访问

4. 监控验证：

   • 添加脚本执行成功的验证机制
   • 设置告警通知，当长时间未检测到新日志时触发

总结

Wazuh与OpenVAS的集成需要特别注意日志文件的生成和管理方式。通过采用固定日志文件、优化收集配置和增强错误处理，可以建立更可靠的自动化监控流程。对于安全运维场景，确保扫描结果能够被及时、完整地收集至关重要，建议实施前进行全面测试，并在生产环境中逐步验证方案效果。