Wazuh告警级别的详细划分逻辑是什么？

如果你接触过Wazuh的告警面板，可能会对那一排从0到15的数字感到困惑。一个失败的登录尝试，怎么就从Level 5变成了Level 10？这背后的“升级”逻辑，远不止是简单的计数，它实际上是Wazuh威胁评估模型的核心体现。

告警级别：从“噪音”到“火警”的刻度尺

简单来说，Wazuh的告警级别（Level 0-15）是一个风险严重性的量化标尺。数字越高，代表系统判定事件的威胁性、紧迫性或影响范围越大。但这个数字不是拍脑袋定的，它的赋值遵循着一套严谨的、分层的决策逻辑。

第一层逻辑：原子事件的固有风险

每个独立的日志事件，在被解码器解析后，都会由对应的原子规则（Atomic Rule）进行初判。这个阶段的级别划分，基于事件本身的属性：

• 信息性 vs. 安全性：一次成功的登录（Level 3）和一次密码错误（Level 5）有本质区别。前者是正常的系统状态，后者则暗示了潜在的未授权访问企图。
• 影响范围与破坏力：系统内核报错（Level 12）显然比某个应用程序的调试信息（Level 2）更值得关注。同样，检测到缓冲区溢出攻击模式（Level 13）的威胁等级，远高于一个对当前系统无害的Windows蠕虫（Level 6）。
• 可信度与确定性：像rootcheck检测到rootkit存在（Level 11）或高度确定的攻击成功迹象（Level 15），这类告警的误报率极低，因此被赋予了高优先级，需要立即介入。

第二层逻辑：上下文的关联与聚合

Wazuh真正强大的地方在于它的关联规则（Composite Rule）。单个的密码错误（Level 5）可能只是用户手误，但如果同一个IP地址在5分钟内连续错了5次呢？在安全工程师眼里，这已经从“失误”变成了“暴力破解攻击”。

这就是告警级别跃升的关键。关联规则通过frequency（频率）和timeframe（时间窗口）等参数，在特定上下文（如相同源IP、相同用户）中聚合原子事件。当匹配阈值被触发，它不再报告那个Level 5的原子事件，而是生成一个全新的、更高级别的告警（例如Level 10）。这个新告警传递的信息是：“这里有一系列可疑事件构成的攻击模式”，其严重性自然水涨船高。

第三层逻辑：可定制的业务视角

Wazuh的规则集是开放的，这意味着级别的划分逻辑并非铁板一块。你可以根据自己企业的业务特性进行调整。例如：

• 对于一家金融公司，任何对核心数据库的访问失败，可能直接定义为Level 12甚至更高。
• 而对于一个内部测试环境，某些“攻击”告警的级别或许可以调低，避免淹没真正的生产告警。

这种定制通过编写自定义规则实现，你可以为特定日志、特定事件序列赋予你认为合适的级别。说白了，Wazuh提供了一套科学的风险评估框架，但最终“什么声音算噪音，什么算火警”，你可以根据自己的“听力”进行微调。

理解逻辑，才能驾驭告警

所以，下次再看到告警级别变化时，你看到的不是一个冰冷的数字跳动。你看到的是Wazuh的分析引擎在工作：它先识别出单个事件的“像素点”，然后通过关联分析将这些像素点组合成有意义的“图案”，最后根据图案的威胁程度，贴上从“仅供参考”到“十万火急”的标签。理解这套划分逻辑，不仅能帮你快速定位真正的高危事件，更能让你依据业务需求，将Wazuh从一个通用的监控工具，打磨成专属的安全哨兵。