上一期通过Wazuh Server把终端日志收集到Graylog中，但是通过Graylog查看这些日志并没有没正确解析成key:value格式，使查看变得困难。

接下来需要对日志存放的格式、索引进行分类处理。通过Graylog内置json extract进行处理

点击日志末尾箭头按钮，选择Create extractor

选择JSON格式，点击Submit

在弹出窗口中把Key/value separator值修改成:

点击Try按钮预览效果

把Extractor title命名成wazuh-json，点击Create extractor

创建完成如下图所示

通过SSH登录服务器，在Graylog上观察日志已经被解析成key:value格式

接着创建告警索引，点击System-Indices

点击右上角Create Index set创建索引

详细配置如下图所示，其中Title以及Description设置成wazuh alerts，Index prefix设置成wazuh-alerts

Index Rotation设置成一个G一个索引，满足20个索引时删除第一个索引，举个例子当wazuh-alerts_21出现时就要删除wazuh-alerts_0，为wazuh-alerts_21存储索引预留空间。

创建完成索引如下图所示

点击查看索引详情

接下来需要创建Stream来把Graylog收到的告警转发到刚才创建的索引中，在Stream页面，点击右上角Create Stream

Title以及Description设置为wazuh alerts，Index Set选择刚才创建的索引wazuh alerts，勾选Remove matches from ‘All messages’ stream，点击Save

创建完成如下图所示，默认处于停止状态

在启动该Stream前还需要对wazuh传来的日志手动打上标记以识别这个数据是wazuh传输的，点击System-Inputs，点击More actions，选择Add static field

添加Field name字段为log_source，Field value字段为wazuh

点击Add field，完成自定义字段添加

查看新接收到日志中已经携带该字段

最后在Stream界面中设置Rule，当日志中带有log_source字段并且值为wazuh的数据会进入该Stream，点击More Actions，选择Quick add rule

在弹出窗口中配置参数，Field字段为log_source，Type字段选择match exactly，value字段为wazuh

配置完成点击Save，点击Start Stream启动Stream，可以看到新接收到日志中日志左下角出现了数据流扭转存储信息

这样就完成了SIEM日志处理的内容，接下来需要对SIEM可视化展示做一些配置，让你一目了然，欢迎订阅收看开源SOC实现（六）-Grafana Dashboard