5分钟搞定Wazuh告警通知：从邮件到Slack的全方位配置指南

你是否还在为服务器异常只能事后排查而烦恼？当黑客入侵、文件被篡改时，能否第一时间收到告警决定了安全事件的响应速度。本文将带你从零构建Wazuh完整告警通知体系，通过5个实战步骤实现从邮件告警到Slack实时推送的全流程配置，让安全威胁无处遁形。

Wazuh告警系统架构概览

Wazuh作为开源安全平台，其告警通知系统基于模块化设计，支持多种输出渠道和自定义规则。核心组件包括：

• 规则引擎：通过src/rootcheck/check_rc_sys.c等文件实现安全规则检测
• 配置管理器：读取etc/ossec.conf中的通知配置
• 通知分发器：通过src/wazuh_modules/agent_upgrade/manager/wm_agent_upgrade_manager.c实现消息路由

告警工作流程如下：

graph LR
    A[安全事件触发] --> B[规则引擎匹配]
    B --> C[生成JSON告警]
    C --> D[配置解析模块]
    D --> E{通知渠道}
    E -->|邮件| F[SMTP服务器]
    E -->|Slack| G[Webhook接口]
    E -->|其他| H[自定义脚本]

基础配置：修改主配置文件

所有通知相关的配置都集中在ossec.conf文件中，该文件位于etc/ossec.conf。默认配置包含系统监控基础设置，我们需要添加通知专用配置块。

邮件告警基础配置

在配置文件中添加以下内容启用SMTP通知：

<ossec_config>
  <!-- 全局邮件设置 -->
  <global>
    <email_notification>yes</email_notification>
    <smtp_server>smtp.example.com</smtp_server>
    <smtp_port>587</smtp_port>
    <smtp_from>wazuh@example.com</smtp_from>
    <smtp_auth>yes</smtp_auth>
    <smtp_user>alerts@example.com</smtp_user>
    <smtp_password>your_password</smtp_password>
    <smtp_ssl>yes</smtp_ssl>
  </global>
  
  <!-- 告警收件人配置 -->
  <email_alerts>
    <email_to>security-team@example.com</email_to>
    <level>7</level> <!-- 仅发送7级及以上告警 -->
    <do_not_delay>yes</do_not_delay>
  </email_alerts>
</ossec_config>

配置说明：level参数控制告警级别过滤，Wazuh将安全事件分为0-16级，16为最严重。完整的配置选项可参考docs/ref/configuration.md

高级配置：实现Slack实时推送

1. 创建Slack Webhook

1. 登录Slack工作区，访问https://api.slack.com/apps
2. 创建新应用，选择"Incoming Webhooks"功能
3. 激活Webhook并复制生成的URL（格式如https://hooks.slack.com/services/XXX/YYY/ZZZ）

2. 配置Wazuh命令与告警规则

在etc/ossec.conf中添加Slack通知命令：

<command>
  <name>slack-notification</name>
  <executable>slack_alert.sh</executable>
  <timeout_allowed>yes</timeout_allowed>
</command>

<active-response>
  <command>slack-notification</command>
  <location>server</location>
  <level>7</level>
  <timeout>300</timeout>
</active-response>

3. 编写Slack通知脚本

在/var/ossec/active-response/bin/目录下创建slack_alert.sh：

#!/bin/bash
WEBHOOK_URL="https://hooks.slack.com/services/XXX/YYY/ZZZ"
ALERT_FILE=$1

# 从告警文件提取关键信息
ALERT_LEVEL=$(grep "Level:" $ALERT_FILE | awk '{print $2}')
ALERT_DESC=$(grep "Description:" $ALERT_FILE | cut -d: -f2-)
AGENT=$(grep "Agent:" $ALERT_FILE | cut -d: -f2-)

# 构建Slack消息
PAYLOAD=$(cat << EOF
{
  "text": "🚨 Wazuh Security Alert (Level $ALERT_LEVEL)",
  "attachments": [
    {
      "title": "Alert Details",
      "fields": [
        {"title": "Agent", "value": "$AGENT", "short": true},
        {"title": "Level", "value": "$ALERT_LEVEL", "short": true},
        {"title": "Description", "value": "$ALERT_DESC"}
      ]
    }
  ]
}
EOF
)

# 发送请求到Slack
curl -X POST -H "Content-Type: application/json" -d "$PAYLOAD" $WEBHOOK_URL

赋予脚本执行权限：

chmod +x /var/ossec/active-response/bin/slack-notification.sh

验证与测试

1. 检查配置文件合法性

执行以下命令验证配置是否正确：

/var/ossec/bin/ossec-control restart

若配置有误，错误信息会输出到/var/ossec/logs/ossec.log。可以通过src/logcollector/logcollector.c中的日志收集逻辑追踪问题。

2. 生成测试告警

触发一个测试告警验证通知系统：

/var/ossec/bin/agent_control -R 000 # 重启所有代理

正常情况下，Slack频道会收到类似以下的告警消息：

🚨 Wazuh Security Alert (Level 7)
Alert Details
Agent: 000 (localhost)
Level: 7
Description: Agent restarted

常见问题与解决方案

邮件发送失败

症状：告警日志显示"Email notification not sent" 排查步骤：

1. 检查SMTP服务器连接：telnet smtp.example.com 587
2. 查看邮件日志：tail -f /var/ossec/logs/ossec.log | grep -i email
3. 验证src/rootcheck/common.c中的告警生成逻辑

解决方案：确保SMTP密码正确，对于Gmail等服务需启用"Less secure apps"或使用应用专用密码。

Slack消息延迟

症状：告警生成后Slack通知延迟超过30秒 优化方案：

1. 修改配置文件禁用批处理：<do_not_delay>yes</do_not_delay>
2. 调整src/wazuh_modules/agent_upgrade/manager/wm_agent_upgrade_manager.c中的通知队列参数

总结与扩展

通过本文配置，你已实现Wazuh告警的邮件和Slack双通道通知。根据实际需求，还可以扩展以下功能：

• 钉钉/企业微信通知：参照Slack配置，修改脚本使用对应API
• 告警聚合：通过src/logcollector/read_ossecalert.c实现重复告警合并
• 自定义告警级别：在etc/ossec.conf中调整level参数

安全告警是响应链的第一步，建议结合Wazuh的自动响应功能，通过src/rootcheck/check_rc_sys.c中的权限检查逻辑实现威胁自动处置。

社区支持：遇到配置问题可访问Wazuh Slack社区获取帮助，或查阅docs/ref/configuration.md官方文档。