程序员经验分享-hwhale

wazuh安装,单机部署3.13

2023-11-07

Wazuh涉及两个主要组件的安装:Wazuh服务器和Elastic Stack。此外,Wazuh agent需要部署到受监视的主机上:

  • Wazuh server:运行Wazuh管理器和API。它从已部署的代理收集和分析数据。
  • Elastic Stack:运行Elasticsearch引擎,Filebeat和Kibana(包括Wazuh应用程序)。它读取,解析,索引和存储由Wazuh管理器生成的警报数据。
  • Wazuh agent:在受监视的主机上运行,收集系统日志和配置数据,并检测入侵和异常。它与Wazuh经理进行交谈,将收集到的数据转发给Wazuh server以进行进一步分析。

添加Wazuh存储库
要设置存储库,请运行以下命令:

# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
# cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF

安装Wazuh管理器
#yum install wazuh-manager
启动服务
#systemctl start wazuh-manager
该过程完成后,您可以使用以下方法检查服务状态:
#systemctl status wazuh-manager

安装Wazuh API

  1. 为了运行Wazuh API,需要NodeJS> = 4.6.1。如果您没有安装NodeJS或您的版本低于4.6.1,我们建议您添加如下所示的官方NodeJS存储库:
    #curl --silent --location https://rpm.nodesource.com/setup_10.x | bash -
    然后,安装NodeJS:
    #yum install nodejs
  2. 安装Wazuh API。如果需要,它将更新NodeJS:
    #yum install wazuh-api
  3. 该过程完成后,您可以使用以下方法检查服务状态:
  • 对于Systemd:
    #systemctl status wazuh-api

安装Filebeat
Filebeat是Wazuh服务器上的工具,可将警报和存档事件安全地转发到Elasticsearch。要安装它:

  1. 添加弹性存储库及其GPG密钥:
# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
# cat > /etc/yum.repos.d/elastic.repo << EOF
[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

  1. 安装Filebeat:
    #yum install filebeat-7.9.2

  2. 从Wazuh存储库下载Filebeat配置文件。这是预先配置的,用于将Wazuh警报转发到Elasticsearch:
    #curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.13.2/extensions/filebeat/7.x/filebeat.yml
    #chmod go+r /etc/filebeat/filebeat.yml

  3. 下载Elasticsearch的警报模板:
    #curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.13.2/extensions/elasticsearch/7.x/wazuh-template.json
    #chmod go+r /etc/filebeat/wazuh-template.json

  4. 下载用于Filebeat的Wazuh模块:
    #curl -s https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module

  5. 编辑文件,/etc/filebeat/filebeat.yml并用YOUR_ELASTIC_SERVER_IPElasticsearch服务器的IP地址或主机名替换。例如:
    output.elasticsearch.hosts: [‘http://YOUR_ELASTIC_SERVER_IP:9200’]

  6. 启用并启动Filebeat服务:

  • 对于Systemd:
    #systemctl daemon-reload
    #systemctl enable filebeat.service
    #systemctl start filebeat.service

安装Elasticsearch
使用RPM软件包安装Elastic Stack

  1. 添加弹性存储库及其GPG密钥:
# rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
# cat > /etc/yum.repos.d/elastic.repo << EOF
[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

Elasticsearch是一个高度可扩展的全文本搜索和分析引擎。

  1. 安装Elasticsearch软件包:
    #yum install elasticsearch-7.9.2

  2. 默认情况下,Elasticsearch将仅侦听回送接口(本地主机)。通过编辑文件/etc/elasticsearch/elasticsearch.yml并取消注释设置,将Elasticsearch配置为侦听非回送地址network.host。将该值更改为要绑定到的IP:
    network.host: <elasticsearch_ip>

  3. 更改network.host选项后,需要进一步配置。在文件中添加或编辑(如果有注释)以下几行/etc/elasticsearch/elasticsearch.yml:
    node.name: <node_name>
    cluster.initial_master_nodes: ["<node_name>"]

  4. 启用并启动Elasticsearch服务:

  5. 对于Systemd:
    #systemctl daemon-reload
    #systemctl enable elasticsearch.service
    #systemctl start elasticsearch.service

5.Elasticsearch启动并运行后,建议加载Filebeat模板。在安装Filebeat的位置运行以下命令:
#filebeat setup --index-management -E setup.template.json.enabled=false

Elasticsearch服务在默认端口9200上进行侦听。您可以通过以下请求进行简单检查:
curl http://<elasticsearch_ip>:9200

安装kibana
Kibana是一个灵活直观的Web界面,用于挖掘和可视化Elasticsearch中存储的事件和档案。
1.安装Kibana软件包:
#yum install kibana-7.9.2

  1. 更新optimize和plugins目录权限:
    #chown -R kibana:kibana /usr/share/kibana/optimize
    #chown -R kibana:kibana /usr/share/kibana/plugins

  2. 安装适用于Kibana的Wazuh应用程序插件:

    • 从URL安装:
      #cd /usr/share/kibana/
      #sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.13.2_7.9.2.zip

默认情况下,Kibana将仅在回送接口(localhost)上侦听,这意味着只能从同一台计算机上对其进行访问。要从外部访问Kibana,请通过编辑文件使其/etc/kibana/kibana.yml取消监听其网络接口IP ,取消注释设置server.host,并将其值更改为:
server.host: “<kibana_ip>”

  1. 通过编辑文件来设置Elasticsearch节点的URL或IP /etc/kibana/kibana.yml:
    elasticsearch.hosts: [“http://<elasticsearch_ip>:9200”]

  2. 对于在Kibana 7.6.X版本上的安装,建议增加Kibana的堆大小以确保安装Kibana的插件:
    #cat >> /etc/default/kibana << EOF
    NODE_OPTIONS="–max_old_space_size=2048"
    EOF

  3. 启用并启动Kibana服务:

  4. 对于Systemd:
    #systemctl daemon-reload
    #systemctl enable kibana.service
    #systemctl start kibana.service

在这里插入图片描述
安装x-pack

Elastic Stack安全功能为正确的人员提供了正确的访问权限。IT,运营和应用程序团队依靠它们来管理目标用户,并阻止恶意行为者,而高管和客户则可以轻松地知道存储在Elastic Stack中的数据是安全的。
配置弹性堆栈以使用加密的连接
1、创建文件/usr/share/elasticsearch/instances.yml,并用您要保护的实例填充它。

#vim /usr/share/elasticsearch/instances.yml
instances:
    - name: "wazuh-manager"
      ip:
        - "192.168.2.40"
    - name: "elasticsearch"
      ip:
        - "192.168.2.40"
    - name: "kibana"
      ip:
        - "192.168.2.40"

2、使用elasticsearch-certutil工具创建证书。该–keep-ca-key修改可能为了保住CA的证书和密钥文件,在未来的扩展这些文件可以被用来签署新的服务器证书的情况下使用。如果不使用此修饰符,则这些文件将被删除,以后的任何证书都将需要一个新的CA,因此,先前的证书将不再有效,需要重新分发。ca.key正确保护文件非常重要。

#/usr/share/elasticsearch/bin/elasticsearch-certutil cert --pem --in instances.yml --out certs.zip --keep-ca-key

3、/usr/share/elasticsearch/certs.zip从上一步中提取生成的文件。您可以使用unzip:
#yum install -y unzip
#unzip /usr/share/elasticsearch/certs.zip -d /usr/share/elasticsearch/

配置Elasticsearch实例
1、创建目录/etc/elasticsearch/certs,然后在其中复制证书颁发机构,证书和密钥。
#cd /usr/share/elasticsearch
#mkdir /etc/elasticsearch/certs/ca -p
#cp ca/ca.crt /etc/elasticsearch/certs/ca
#cp elasticsearch/elasticsearch.crt /etc/elasticsearch/certs
#cp elasticsearch/elasticsearch.key /etc/elasticsearch/certs
#chown -R elasticsearch: /etc/elasticsearch/certs
#chmod -R 770 /etc/elasticsearch/certs

2、在中为传输层和HTTP层添加正确的设置/etc/elasticsearch/elasticsearch.yml。
#vim /etc/elasticsearch/elasticsearch.yml
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.key: /etc/elasticsearch/certs/elasticsearch.key
xpack.security.transport.ssl.certificate: /etc/elasticsearch/certs/elasticsearch.crt
xpack.security.transport.ssl.certificate_authorities: [ “/etc/elasticsearch/certs/ca/ca.crt” ]

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.verification_mode: certificate
xpack.security.http.ssl.key: /etc/elasticsearch/certs/elasticsearch.key
xpack.security.http.ssl.certificate: /etc/elasticsearch/certs/elasticsearch.crt
xpack.security.http.ssl.certificate_authorities: [ “/etc/elasticsearch/certs/ca/ca.crt” ]

3、重新启动服务:
#systemctl restart elasticsearch

配置Filebeat实例(Wazuh管理器实例)
1、创建目录/etc/filebeat/certs,然后在其中复制证书颁发机构,证书和密钥。
#cd /usr/share/elasticsearch
#mkdir /etc/filebeat/certs/ca -p
#cp ca/ca.crt /etc/filebeat/certs/ca
#cp wazuh-manager/wazuh-manager.crt /etc/filebeat/certs
#cp wazuh-manager/wazuh-manager.key /etc/filebeat/certs
#chmod 770 -R /etc/filebeat/certs

2、在中添加正确的设置/etc/filebeat/filebeat.yml。
#vim /etc/filebeat/filebeat.yml
output.elasticsearch.hosts: [‘192.168.2.40:9200’]
output.elasticsearch.protocol: https
output.elasticsearch.ssl.certificate: “/etc/filebeat/certs/wazuh-manager.crt”
output.elasticsearch.ssl.key: “/etc/filebeat/certs/wazuh-manager.key”
output.elasticsearch.ssl.certificate_authorities: ["/etc/filebeat/certs/ca/ca.crt"]

您可以使用来测试Filebeat输出。filebeat test output
在这里插入图片描述

3、重新启动服务:
#systemctl restart filebeat

配置Kibana实例
1、创建目录/etc/kibana/certs,然后在其中复制证书颁发机构,证书和密钥。
#cd /usr/share/elasticsearch
#mkdir /etc/kibana/certs/ca -p
#cp ca/ca.crt /etc/kibana/certs/ca
#cp kibana/kibana.crt /etc/kibana/certs
#cp kibana/kibana.key /etc/kibana/certs
#chown -R kibana: /etc/kibana/certs
#chmod -R 770 /etc/kibana/certs

2、在中添加正确的设置/etc/kibana/kibana.yml。
#vim /etc/kibana/kibana.yml //把原先的elasticsearch.hosts注销掉
elasticsearch.hosts: [“https://192.168.2.40:9200”]
elasticsearch.ssl.certificateAuthorities: ["/etc/kibana/certs/ca/ca.crt"]
elasticsearch.ssl.certificate: “/etc/kibana/certs/kibana.crt”
elasticsearch.ssl.key: “/etc/kibana/certs/kibana.key”

server.ssl.enabled: true
server.ssl.certificate: “/etc/kibana/certs/kibana.crt”
server.ssl.key: “/etc/kibana/certs/kibana.key”

3、重启服务
#systemctl restart kibana

为Elasticsearch添加身份验证
1、将下一行添加到中/etc/elasticsearch/elasticsearch.yml。
#vim /etc/elasticsearch/elasticsearch.yml
xpack.security.enabled: true

2、重新启动Elasticsearch并等待服务准备就绪。
#systemctl restart elasticsearch

3、为所有Elastic Stack预置角色和用户生成凭证。
#/usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto

4、至少记下elastic用户的密码。

5、设置Filebeat的凭据。将后两行添加到中/etc/filebeat/filebeat.yml。
#vim /etc/filebeat/filebeat.yml
output.elasticsearch.username: “elastic”
output.elasticsearch.password: “password_generated_for_elastic”

6、重新启动Filebeat。
#systemctl restart filebeat

7、设置Kibana的凭据。将下一行添加到中/etc/kibana/kibana.yml。
#vim /etc/kibana/kibana.yml
xpack.security.enabled: true
elasticsearch.username: “elastic”
elasticsearch.password: “password_generated_for_elastic”

8、重新启动Kibana。
#systemctl restart kibana

您现在可以登录到Kibana Web界面,并使用弹性用户凭证登录:
在这里插入图片描述

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

防篡改

安全

wazuh安装,单机部署3.13 的相关文章

  • 了解 GNU GPL/GNU LGPL/BSD/MIT/Apache协议

    文章来源 http iflonely com wordpress 2010 07 E4 BA 86 E8 A7 A3 gnu gplgnu lgplbsdmitapache E5 8D 8F E8 AE AE 越来越多的开发者与设计者希望将

  • ORM框架 Dapper

    一 介绍 Dapper是一款轻量级ORM工具 如果你在小的项目中 使用Entity Framework NHibernate 来处理大数据访问及关系映射 未免有点杀鸡用牛刀 你又觉得ORM省时省力 这时Dapper 将是你不二的选择 ORM

  • 黑盒测试中的决策表设计

    前言 在软件开发中 测试是不可或缺的一个环节 其中 黑盒测试是一种比较常用的测试方法 它强调测试人员不需要知道程序内部结构 只需根据程序规格说明书来设计测试用例进行测试 本文将介绍黑盒测试中的一种决策表设计方法 同时 我也为大家准备了一份软

  • 前端WebSocket详解

    websocket是H5才开始提供的一种在单个TCP连接上进行全双工通讯的协议 主要作用就是建立服务器和客户端的长连接能更好的节省服务器资源和带宽 服务器向浏览器推流实现实时通信 复制代码 和http一样 WebSocket也是应用层协议

  • mysql create trigger 触发器已存在

    1 CREATE TRIGGER 时显示触发器以存在 2 DROP TRIGGER IF EXISTS 也失败 解决 1 通过my ini 查到 datadir的路径 找到数据文件路径 2 找到相关数据库目录 删除相关触发器文件 如触发器名

  • eclipse_cpp 配置mingw

    1 MinGW 5 1 6的安装 首先下载 然后双击安装 过程如下 这一步如果你只想用Eclipse编译C C程序的话 只选上面三项即可 当然你可以都安装上 接下来就等着慢慢下载和安装吧 如果你的网速比较快的话 那么你是非常幸运的 2 配置

  • 宽度优先搜索(BFS)详解,以及双向广搜

    百度百科的官方解释 宽度优先搜索算法 又称广度优先搜索 是最简便的图的搜索算法之一 这一算法也是很多重要的图的算法的原型 Dijkstra单源最短路径算法和Prim最小生成树算法都采用了和宽度优先搜索类似的思想 其别名又叫BFS 属于一种盲

  • td 字典表_mysql常用字典表(完整版)

    本节内容 mysql数据库中的常用字典表 1 显示数据库列表 复制代码 代码示例 mysql gt show databases 说明 其中字典库是 information schema 其中常用字典表 INFORMATION SCHEMA

  • java 面向对象编程 --- 类及类的成员

    目录 学习面向对象内容的三条主线 面向过程与面向对象 面向过程 POP 与 面向对象 OOP 面向对象的三大特征 例子 人把大象装进冰箱 面向对象的思想概述 类和对象 面向对象的思想概述 Java类及类的成员 类的语法格式 创建Java自定

  • SqlServer千万级以上的数据表查询优化方案《冷热数据库分离》的思路

    1 是分库而不是分表 分表即需要考虑引入分表算法 又影响后续查询 2 热数据只占全部数据的一部分 因此每次优先查询热库 以下情况才查询冷库 a 当查询条件未命中 结果集为空 时 查询冷库 b 当查询条件部分命中时 查询冷库 3 为了区分部分

随机推荐

  • Android解决问题的思路

    1 前言 授人以鱼不如授人以渔 当向别人请教了问题且被解答了疑惑后 或许也想知道对方是如何思考 如何按照一定的的逻辑得出最终的答案 故想分享一下我这6年Android开发中是如何解决问题的 一家之言 请同学们多多指教 2 指导性原则 第一点

  • Java通过反射运用自定义注解案例

    Java和大数据系列 注 大家觉得博客好的话 别忘了点赞收藏呀 本人每周都会更新关于人工智能和大数据相关的内容 内容多为原创 Python Java Scala SQL 代码 CV NLP 推荐系统等 Spark Flink Kafka H

  • nvcc fatal : A single input file is required for a non-link phase when an outputfile is specified

    nvcc fatal A single input file is required for a non link phase when an outputfile is specified 错误原因 我想用VS编译colmap3 8 于是

  • Android无埋点数据收集SDK关键技术解析

    前言 本文基于网易乐得无埋点数据收集SDK 无埋点数据收集SDK用于向大数据平台提供全量 完整 准确的客户端数据 Android端无埋点数据收集SDK实现中涉及到比较关键的技术点有 用字节码插桩的方式实现Android端的AOP Hook

  • 自学python记录001-使用PyCharm创建项目

    启动PyCharm后如下所示 点击新建项目 选择项目存放路径 可以勾选创建main py文件 点击创建 创建完成后可以看到main py里面有一些提示的代码 比如说Shift F10可以运行项目 Ctrl F8可以直接添加断点 双击Shif

  • 强烈推荐的机器学习,深度学习课程以及python库

    本文知乎链接 强烈推荐的机器学习 深度学习课程以及python库 本着两条原则发一波车 1 不建议报辅导班 不是因为我们不应该为学习知识付费 而是因为有更好的资源 而这些资源恰好免费 报辅导班学习浪费钱倒是次要的 主要是时间有限 所以我们要

  • 程序分析技术理解(一)

    1 基本块 Basic Block 和流图 flow graph 将一段程序划分为基本块 Basic Block BB 每个基本块满足以下条件 a 控制流只能从基本块的第一个指令进入 b 除了基本块的最后一条指令 控制流在离开基本块前不会停

  • 移动端代码质量管理与安全检测评估

    在前面的文章中已经详细介绍过Jenkins Sonarqube的安装 配置及使用 对于Web端的代码质量管理通常相对容易 Jenkins配套Sonarqube很方便就能搞定 但是对于移动端来说 尤其iOS 集成和使用的复杂性会大幅提高 目前

  • PostgreSQL系列1:PostgreSQL 10.23 离线安装

    1 安装前准备 1 1创建用户 useradd postgres passwd postgres 1 2创建数据目录和日志目录 mkdir p data db pg data mkdir p data db pg logs chown R

  • 字符串分割(split),将字符串按照指定字符进行分割。split(String regex)和split(String regex, int limit)

    一 split String regex 字符串分割 将字符串按照指定字符进行分割 返回的是一个字符串数组 public String split String regex return split regex 0 原理 参数名称是rege

  • 【狂神说Java】HTML快速入门

    目录 1 初识HTML 2 网页基本信息 3 网页基本标签 4 图像标签 5 超链接标签应用 6 行内元素和块元素 7 列表标签 8 表格标签 9 媒体元素 10 页面结构分析 11 iframe内联框架 12 初始表单post和get提交

  • 两台linux文件拷贝

    scp就是secure copy 是用来进行远程文件拷贝的 数据传输使用ssh1 并且和ssh1使用相同的认证方式 提供相同的安全保证 与rcp不同的是 scp会要求你输入密码如果需要的话 最简单的应用如下 scp 本地用户名 IP地址 文

  • angular的ElementRef和Renderer2

    Angular ElementRef 简介 angular angular 2018 09 22 Angular 的口号是 一套框架 多种平台 同时适用手机与桌面 One framework Mobile desktop 即 Angular

  • opencv3.3.0在线读取网络图片图像资源

    说明 上一篇博客中描写了imread 的用法 请参见 http blog csdn net m0 37606112 article details 78524234 这一篇来描述cv2 videoCapture 的用法 照例打开opencv

  • vue插槽的基本使用

    1 什么是插槽 插槽 Slot 是 vue 为组件的封装者提供的能力 允许开发者在封装组件时 把不确定的 希望由用户指定的部分定义为插槽 2 体验插槽的基础用法 在封装组件时 可以通过元素定义插槽 从而为用户预留内容占位符 示例代码如下 如

  • 深度学习 - 模型的优化和过拟合问题

    优化函数 学习速率与反向传播算法 学习速率 learning rate 梯度就是表明损失函数相对参数的变化率 对梯度进行缩放的参数被称为学习速率 learning rate 学习速率是一种超参数或对模型的一种手工可配置的设置 需要为它指定正

  • 《Graph Neural Networks Foundations,Frontiers and Applications》第一部分第二章第2.3.1.1节翻译和解读

    书名 Graph Neural Networks Foundations Frontiers and Applications 图神经网络的基础 前沿和应用 出版社 Springer Berlin Heidelberg 作者 Lingfei

  • Python 函数的定义

    视频版教程 Python3零基础7天入门实战视频教程 函数 函数是执行特定任务的一段代码 程序通过将一段代码定义成函数 并为该函数指定一个函数名 这样即可在需要的时候多次调用这段代码 比如我们前面学到的range 函数 就是系统内置的函数

  • Appium自动化框架从0到1之 基类的封装

    这里只封装了4个基类 其他的大家可以自己丰富 直接上代码 baseView py coding utf 8 auth carl DJ time 2020 7 9 class BaseView object 封装一些基类 def init s

  • wazuh安装,单机部署3.13

    Wazuh涉及两个主要组件的安装 Wazuh服务器和Elastic Stack 此外 Wazuh agent需要部署到受监视的主机上 Wazuh server 运行Wazuh管理器和API 它从已部署的代理收集和分析数据 Elastic S

热门标签