---
title: "Wazuh log management: rilevamento NIS 2"
description: "Come Wazuh supporta log e rilevamento NIS 2: sorgenti, retention, integrità, alerting, reporting e limiti di conformità."
canonical: https://www.aegister.com/it/cms/insights/wazuh-gestione-centralizzata-log-requisiti-rilevamento-nis-2/
url: /it/cms/insights/wazuh-gestione-centralizzata-log-requisiti-rilevamento-nis-2/
lang: it
---

![](/static/images/header-contact.webp)

# Gestione centralizzata dei log con Wazuh: come soddisfare i requisiti di rilevamento NIS 2

---

![Gestione centralizzata dei log con Wazuh: come soddisfare i requisiti di rilevamento NIS 2](/static/images/cms/wazuh-centralized-log-management-nis-2-detection-requirements.webp)

## Gestione centralizzata dei log con Wazuh: come soddisfare i requisiti di rilevamento NIS 2

24 Aprile 2026

[log centralizzati](/it/cms/keyword/log-centralizzati/)
[gestione log Wazuh](/it/cms/keyword/gestione-log-wazuh/)
[rilevamento NIS 2](/it/cms/keyword/rilevamento-nis-2/)
[conformità SIEM](/it/cms/keyword/conformita-siem/)
+6

La gestione centralizzata dei log è uno dei modi più concreti per trasformare i requisiti NIS 2 in evidenze operative. Wazuh può raccogliere log endpoint, ricevere syslog, analizzare eventi e generare alert. Il valore di conformità dipende da cosa viene raccolto, per quanto tempo viene conservato e come vengono gestiti gli alert.

Fonti: [raccolta log Wazuh](https://documentation.wazuh.com/current/user-manual/capabilities/log-data-collection/how-it-works.html), [configurazione syslog Wazuh](https://documentation.wazuh.com/current/user-manual/capabilities/log-data-collection/syslog.html), [Direttiva NIS 2](https://eur-lex.europa.eu/eli/dir/2022/2555/oj), [determinazione ACN obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed).

## Punti chiave

- Wazuh supporta raccolta, analisi e alerting centralizzati.
- Le evidenze NIS 2 richiedono sorgenti, retention, accessi e processo di review documentati.
- I log devono mappare servizi critici, identità, controlli di rete, endpoint e cloud.
- Integrità e segregazione contano quanto il volume raccolto.
- Wazuh supporta il rilevamento, ma la notifica regolatoria resta un processo di governance.

## Requisiti di logging e rilevamento della NIS 2

La NIS 2 richiede misure di gestione del rischio e capacità di gestione incidenti. I materiali ACN traducono queste aspettative in logica di governance, identificazione, protezione, rilevamento, risposta e ripristino. Il logging è il livello di evidenza che collega i controlli agli eventi reali.

## Mapping Wazuh verso controlli NIS 2

| Obiettivo controllo | Capacità Wazuh | Evidenza da conservare |
| --- | --- | --- |
| Monitoraggio eventi | Raccolta agent e syslog, decoder, regole. | Inventario sorgenti, configurazioni, storico alert. |
| Rilevamento anomalie | Regole e correlazione di comportamenti sospetti. | Decisioni di tuning, alert di test, note investigation. |
| Visibilità vulnerabilità | Inventory software e vulnerability detection. | Report vulnerabilità, remediation. |
| Risposta incidenti | Workflow alert a supporto di triage ed escalation. | Ticket, log escalation, post-incident review. |
| Audit readiness | Dashboard, export e dati evento conservati. | Retention, access log, report management. |

## Cosa loggare: sorgenti minime

- Servizi di identità e directory.
- Sistemi di accesso privilegiato.
- Server ed endpoint critici.
- Firewall, VPN, router e switch tramite syslog dove appropriato.
- Control plane cloud e servizi di sicurezza tramite API o forwarding.
- Backup, endpoint protection e vulnerability management.

## Retention e integrità dei log

La documentazione Wazuh indica che log e alert possono essere conservati in file archive e alert, e che la retention va governata in base a requisiti legali e regolatori. Per la NIS 2, definire retention da esigenze di investigation, audit e continuità. Proteggere indici, export e backup da modifiche non autorizzate.

## Alerting e incident detection

Una regola di detection è utile solo se qualcuno la riceve, la comprende e può agire. Definire soglie, escalation, orari, gestione fuori orario, review falsi positivi e responsabilità. Collegare gli alert critici ai playbook incidente.

## Reporting per CdA e readiness ACN

Il management non ha bisogno del volume grezzo di log. Ha bisogno di indicatori su copertura, eventi severi, incidenti aperti, gap di rilevamento e remediation. Per soggetti regolati, gli output Wazuh devono alimentare reporting direzionale ed evidence pack.

## Limiti: cosa Wazuh non copre

- Non decide la notifica legale a CSIRT Italia o ACN.
- Non sostituisce ownership di incident response.
- Non risolve da solo le evidenze sul rischio fornitore.
- Non garantisce detection completa senza copertura e tuning.

## Piano di onboarding delle sorgenti log

L’onboarding deve essere graduale. Iniziare da sorgenti che supportano identità, accesso remoto, esposizione Internet, azioni privilegiate e integrità dei backup. Poi aggiungere applicazioni business e workload cloud. Ogni sorgente deve avere owner, finalità, stato parsing, criticità e cadenza di review.

| Classe sorgente | Motivo raccolta | Domanda controllo |
| --- | --- | --- |
| Sistemi identità | Rilevare abuso account e privilege escalation. | Vediamo pattern sospetti di autenticazione? |
| Sicurezza rete | Monitorare perimetro e movimenti laterali. | Possiamo ricostruire traffico e accessi? |
| Server critici | Rilevare disruption e modifiche non autorizzate. | Possiamo provare monitoraggio sui sistemi essenziali? |
| Piattaforme backup | Proteggere recovery da manomissioni. | Possiamo rilevare cancellazione o fallimento backup? |
| Control plane cloud | Monitorare cambi amministrativi e abuso API. | Vediamo eventi cloud privilegiati? |

## Modello decisionale per retention

La retention deve essere esplicita. Un modello utile separa dati hot di ricerca, dati warm di investigation e archivi cold. L’organizzazione deve documentare perché ogni periodo è sufficiente per investigation, audit e business. Se lo storage forza retention breve, il rischio deve essere visibile al management.

## Controlli di integrità sulle evidenze log

- Limitare accessi amministrativi a indici e archive.
- Separare amministratori SIEM e amministratori dei sistemi monitorati dove possibile.
- Salvare configurazioni ed evidenze critiche in posizione protetta.
- Registrare modifiche a regole, decoder, retention e diritti accesso.
- Testare che le evidenze esportate siano leggibili e spiegabili dopo un incidente.

## Metriche di qualità degli alert

La copertura non basta. Misurare volume alert, falsi positivi, tempo medio di triage, alert non assegnati, regole rumorose e lesson learned da detection mancate. Queste metriche mostrano se Wazuh migliora davvero il rilevamento.

## Reporting pronto per gli organi

Un report trimestrale dovrebbe riepilogare asset critici monitorati, alert severi, incidenti confermati, gap detection aperti, trend vulnerabilità e remediation. Così l’operatività SIEM diventa evidenza di governance allineata alla NIS 2.

## Catalogo scenari di detection

Un programma Wazuh orientato alla NIS 2 dovrebbe mantenere un piccolo catalogo di scenari. Esempi: abuso account privilegiati, fallimenti autenticazione ripetuti, processi sospetti, alert malware, modifiche servizio non autorizzate, cancellazione backup, anomalie VPN e picchi deny firewall. Ogni scenario deve avere sorgente, regola, owner ed escalation.

| Scenario | Sorgenti minime | Risposta operativa |
| --- | --- | --- |
| Anomalia login privilegiato | Log identità, endpoint, VPN. | Verificare utente, sessione, IP sorgente e change window. |
| Manomissione backup | Piattaforma backup, log admin, endpoint. | Escalation immediata a recovery owner e incident lead. |
| Alert malware | Endpoint protection, agent Wazuh, log rete. | Contenere host, raccogliere evidenze, verificare movimento laterale. |
| Failure servizio critico | Log applicativi, sistema, eventi monitoraggio. | Valutare impatto servizio e classificazione incidente. |

## Cadenza di review qualità log

La qualità dei log degrada se non viene rivista. Nuove applicazioni, servizi cloud, cambi identità, sostituzioni endpoint e integrazioni fornitore possono creare gap. Una review mensile dovrebbe confrontare inventario asset e registro sorgenti, evidenziando sistemi critici non coperti.

## Workflow evidenze da alert ad audit

1. L’alert viene generato e classificato per severità.
2. L’analyst registra triage e asset impattato.
3. L’incident owner decide se serve escalation.
4. Le evidenze sono allegate a ticket o case record.
5. La chiusura spiega causa, impatto e remediation.
6. Il report mensile aggrega trend e gap aperti.

Questo workflow rende gli output Wazuh riutilizzabili per audit. Senza di esso, le dashboard mostrano attività, ma auditor e management non vedono se l’organizzazione ha agito sul segnale.

## Navigazione della serie

- [introduzione a Wazuh](/it/cms/insights/wazuh-siem-open-source-conformita-nis-2/)
- [deployment passo-passo Wazuh](/it/cms/insights/come-installare-wazuh-guida-deployment-nis-2/)
- [Wazuh vs SIEM commerciale](/it/cms/insights/wazuh-vs-siem-commerciale-confronto-pmi-italiane/)
- [rilevamento ed event monitoring NIS2](/it/cms/insights/nis2-rilevamento-de-monitoraggio-eventi/)
- [registri operativi e log](/it/cms/insights/nis2-registri-operativi-log-backup-e-ripristino/)

Per un modello operativo managed, vedi [Cyber Console Aegister](https://aegister.com/it/solutions/cyber-console/) e [vCISO Aegister](https://aegister.com/it/solutions/virtual-ciso/).

## FAQ

### Per quanto tempo conservare i log?

Non esiste una risposta unica. Definire la retention da obblighi legali, investigation, risk assessment e vincoli storage. Documentare la decisione.

### Wazuh supporta syslog?

Sì. La documentazione Wazuh descrive ingestione syslog per dispositivi dove non si può installare agent.

### Wazuh può produrre report per il CdA?

Può fornire dati e dashboard, ma il report direzionale richiede interpretazione business, contesto di rischio e accountability.

## Fonti ufficiali

- [Raccolta log Wazuh](https://documentation.wazuh.com/current/user-manual/capabilities/log-data-collection/how-it-works.html)
- [Configurazione syslog Wazuh](https://documentation.wazuh.com/current/user-manual/capabilities/log-data-collection/syslog.html)
- [Vulnerability detection Wazuh](https://documentation.wazuh.com/current/user-manual/capabilities/vulnerability-detection/index.html)
- [Direttiva (UE) 2022/2555](https://eur-lex.europa.eu/eli/dir/2022/2555/oj)
- [Determinazione ACN obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed)
- [Guida tecnica ENISA NIS2](https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance)

Condividi questo articolo:

## Notizie Correlate

[![Come installare Wazuh: guida deployment passo-passo per la NIS 2](/static/images/cms/how-to-install-wazuh-nis-2-deployment-guide.webp)](/it/cms/insights/come-installare-wazuh-guida-deployment-nis-2/)

[Come installare Wazuh: guida deployment passo-passo per la NIS 2](/it/cms/insights/come-installare-wazuh-guida-deployment-nis-2/)

[Guida tecnica per installare Wazuh in un programma NIS 2, con fonti ufficiali, esempi di comandi, scelte architetturali, hardening e controlli di validazione.](/it/cms/insights/come-installare-wazuh-guida-deployment-nis-2/)

[installare Wazuh](/it/cms/keyword/installare-wazuh/)
[deployment Wazuh](/it/cms/keyword/deployment-wazuh/)
+8

[![Wazuh: il SIEM open-source per la conformità NIS 2](/static/images/cms/wazuh-open-source-siem-nis-2-compliance.webp)](/it/cms/insights/wazuh-siem-open-source-conformita-nis-2/)

[Wazuh: il SIEM open-source per la conformità NIS 2](/it/cms/insights/wazuh-siem-open-source-conformita-nis-2/)

[Introduzione pratica a Wazuh come piattaforma SIEM e XDR open source per programmi NIS 2. Copre architettura, valore di rilevamento, limiti, TCO e criteri per servizi managed.](/it/cms/insights/wazuh-siem-open-source-conformita-nis-2/)

[rilevamento minacce](/it/cms/keyword/rilevamento-minacce/)
[gestione log](/it/cms/keyword/gestione-log/)
+8

[![Cos'è un SIEM: definizione, architettura e ruolo nella conformità NIS 2](/static/images/cms/cosa-e-un-siem-conformita-nis-2.webp)](/it/cms/insights/cosa-e-un-siem-conformita-nis-2/)

[Cos'è un SIEM: definizione, architettura e ruolo nella conformità NIS 2](/it/cms/insights/cosa-e-un-siem-conformita-nis-2/)

[Un SIEM centralizza i log di sicurezza, correla eventi, genera alert e supporta le indagini. Per NIS 2 e misure base ACN non è solo uno strumento tecnico: aiuta a dimostrare monitoraggio, rilevamento incidenti, conservazione log e prontezza delle evidenze.](/it/cms/insights/cosa-e-un-siem-conformita-nis-2/)

[SIEM](/it/cms/keyword/siem/)
[gestione log](/it/cms/keyword/gestione-log/)
+8