Для установки, настройки Wazuh и подключения импорта данных из файла через rsyslog/Logstash используйте документацию производителя.
Для разбора события из CEF-файла необходимо создать декодер. Для каждого события требуется свой декодер.
Пример декодера для разбора события FAP_EV_LOGONS - вход в систему:
Wazuh
<!--
08/10/2022
Log Sample:
CEF:0|Foresight|Foresight Analytical Platform|9.8.10053|FAP_EV_LOGONS|AuditLog|Unknown|act=Вход в систему cs1Label=MetabaseId cs1=MB_DEF rt=Aug 11 2022 11:25:01 outcome=Success shost=WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=192.168.176.1;172.26.224.1;192.168.141.1;192.168.217.1;172.17.32.1;10.9.43.44 msg=Версия платформы: 9.8.10053.0 D Master x64 Настольное приложение
-->
<decoder name= "fap-cef-logon">
<prematch>CEF:0\|Foresight\|Foresight Analytical Platform\|\d+.\d+.\d+\|FAP_EV_LOGONS\|AuditLog\|Unknown\|</prematch>
</decoder>
<decoder name="fap-cef-logon-fields">
<parent>fap-cef-logon</parent>
<regex>act=(\.+) cs1Label=(\.+) cs1=(\.+) rt=(\.+) outcome=(\.+) shost=(\.+) suser=(\.+) cs2Label=(\.+) cs2=(\.+) cs3Label=(\.+) cs3=(\.+) msg=(\.*)</regex>
<order>audit.act, audit.cs1Label, audit.cs1, audit.rt, audit.outcome, audit.shost, audit.suser, audit.cs2Label, audit.cs2, audit.cs3Label, audit.cs3, audit.msg</order>
</decoder>
Для разбора других событий, необходимо написать декодеры аналогично примеру.
См. также:
Поддержка работы с системами управления событиями безопасности