Wazuh OpenSearch Analytics

🚀 OpenSearch MCP 服務器

OpenSearch MCP 服務器是一個基於 Model Context Protocol (MCP) 的服務器，主要用於查詢和分析存儲在 OpenSearch 中的 Wazuh 安全日誌，為安全日誌的處理提供了便捷的途徑。

🚀 快速開始

在使用 OpenSearch MCP 服務器之前，需要確保滿足以下先決條件：

• Node.js v16 或更高版本
• 能夠訪問包含 Wazuh 安全日誌的 OpenSearch 實例

✨ 主要特性

• 支持帶有高級過濾功能的安全警報搜索，可精準定位所需信息。
• 能夠獲取特定警報的詳細信息，便於深入分析。
• 可以生成安全事件統計信息，為決策提供數據支持。
• 實現警報時間趨勢的可視化，直觀展示安全態勢。
• 提供長期操作進度報告，方便監控操作狀態。
• 具備結構化的錯誤處理機制，增強系統穩定性。

📦 安裝指南

選項 1：直接使用 npx 從 GitHub（推薦）

您可以直接使用 npx 運行此工具，而無需克隆倉庫：

# 運行來自 GitHub 的最新版本
npx github:jetbalsa/mcp-opensearch-js

# 啟用調試模式
npx github:jetbalsa/mcp-opensearch-js --debug

# 您還可以指定特定分支或提交
npx github:jetbalsa/mcp-opensearch-js#main

選項 2：本地安裝

1. 克隆此倉庫：

git clone https://github.com/jetbalsa/mcp-opensearch-js.git
cd mcp-opensearch-js

2. 安裝依賴項：

npm install

3. 配置環境變量：

cp .env.example .env

4. 使用 OpenSearch 連接詳細信息編輯 .env 文件：

OPENSEARCH_URL=https://your-opensearch-endpoint:9200
OPENSEARCH_USERNAME=your-username
OPENSEARCH_PASSWORD=your-password
DEBUG=false

💻 使用示例

啟動服務器

啟動服務器：

npm start

這將在 stdio 模式下啟動服務器。

啟用調試日誌記錄：

npm run stdio:debug

使用 MCP CLI 測試：

npm run dev

這將啟動服務器並使用 MCP CLI 工具進行交互式測試。

使用 MCP Inspector 測試：

npm run inspect

這將啟動服務器並與 MCP Inspector 連接以進行可視化調試。

服務器工具使用示例

1. 搜索警報

在 Wazuh 數據中搜索安全警報。 參數：

• --search：指定要搜索的關鍵詞或條件。
• --filter：應用高級過濾器（如時間範圍、日誌級別等）。
• -o, --output：指定輸出格式（支持 JSON、CSV、文本等）。

2. 獲取警報詳細信息

獲取特定警報的詳細信息。 參數：

• --id：指定要查詢的警報 ID。
• --fields：指定要顯示的字段（以逗號分隔）。
• -v, --verbose：啟用詳細模式，顯示更多相關信息。

3. 統計信息

生成安全事件的統計信息。 參數：

• --time-range：指定時間範圍（格式為 YYYY-MM-DD HH:MM:SS）。
• --aggregation：指定聚合方式（如按小時、天、周等）。
• -s, --summary：顯示彙總結果。

4. 可視化趨勢

可視化警報的時間趨勢。 參數：

• --start-time：指定起始時間。
• --end-time：指定結束時間。
• -f, --format：指定輸出格式（如圖表、表格等）。

使用 MCP CLI 工具示例：

# 搜索警報
mcp-cli search --keyword "error" --output json

# 獲取警報詳細信息
mcp-cli get --id 12345 --verbose

# 生成統計信息
mcp-cli stats --time-range "2023-10-01 00:00:00" "2023-10-07 23:59:59" --summary

# 可視化趨勢
mcp-cli trends --start-time "2023-10-01" --end-time "2023-10-07" --format chart

使用客戶端示例

安裝依賴項：

npm install mcp-opensearch

連接到 MCP 服務器：

const { MCPClient } = require('mcp-opensearch');
const client = new MCPClient({
  host: 'localhost',
  port: 9200,
  username: 'your-username', // 可選
  password: 'your-password'  // 可選
});

示例用法：

// 搜索警報
client.search({ keyword: 'error' }, (err, result) => {
  if (err) return console.error(err);
  console.log('Search Result:', result);
});

// 獲取警報詳細信息
client.get({ id: '12345' }, (err, result) => {
  if (err) return console.error(err);
  console.log('Alert Details:', result);
});