security

基本目的 wazhu集群是一组wazuh管理器，它们共同工作以增强服务的可用性和可扩展性。使用wazuh集群设置，只要我们在必要时增加worker节点，就可以大大增加agent的数量。 使用集群的原因

wazuh项目代码结构 主要进程列表 wazuh-remoted 数据接收进程 wazuh-analysisd 事件分析进程 wazuh-logcollector 事件采集进程 wazuh配置管理 w

logcollector进程主函数 消息队列声明与定义 在函数声明末尾__attribute__((nonnull)); 使用nonnull能够将可能为空的值暴露出来，这样能够找出任何潜伏在调用代码中

本文已参与「新人创作礼」活动，一起开启掘金创作之路 接收远端消息处理主函数 /* Handle remote connections */ void HandleRemote(int uid) { c

wazuh事件分析进程 入口函数、规则ruleset/rule xml格式各种规则 双向链表 消息并处理主函数

分析完成之后的事件存到队列中，入队列函数如下： 已分析完成的事件队列中，获取事件函数： queue_push_ex_block调用关系，忽略test开头的函数调用，其他是analysisd.c、rul