Wazuh安装指南

来源:https://documentation.wazuh.com/current/installation-guide/index.html

一、安装指南

本文档将指导您完成Wazuh的安装过程。为提供互动帮助,我们的电子邮件论坛是可用的。您可以发送电子邮件到Wazuh订阅此论坛。

安装Wazuh需要安装两个核心组件:Wazuh服务器和弹性堆栈。此外,Wazuh代理还被部署到您环境中的受监视主机上:

Wazuh服务器:运行Wazuh管理器、API和Filebeat (Filebeat仅在分布式架构中需要)。它收集和分析来自已部署代理的数据。

Elastic Stack:运行Elasticsearch引擎、Logstash服务器和Kibana(包括Wazuh应用程序)。它读取、解析、索引并存储Wazuh服务器生成的警报数据。

Wazuh代理:在被监控主机上运行,收集系统日志和配置数据,并检测入侵和异常。它与Wazuh服务器通信,并将收集到的数据转发给该服务器进行进一步分析。

分布式架构在不同的主机上运行Wazuh服务器和Elastic Stack集群(一个或多个服务器)。单主机架构在同一系统上运行Wazuh服务器和Elastic Stack。本指南涵盖了两个安装选项。

下面的图列出了针对单个主机和分布式架构的每个主机运行的组件。

单台主机架构:


分布式体系结构:


注意:在安装组件之前,请确认时间同步服务已配置并在您的服务器上运行。这是最常见的NTP。更多信息,请访问Debian/Ubuntu或CentOS/RHEL/Fedora。

二、安装Wazuh服务器

Wazuh服务器可以安装在任何类unix操作系统上。它最常安装在Linux上。如果您的发行版可以使用包,那么通过包进行安装过程会更简单,但是,从源代码构建和安装也非常简单。

在Wazuh服务器上通常安装两个组件:管理器和API。此外,对于分布式架构(Wazuh服务器将数据发送到远程弹性堆栈集群),需要安装Filebeat。

安装Wazuh服务器有几个选项,具体取决于操作系统以及是否希望从源代码构建。请参阅下表并选择如何进行:安装Wazuh服务器

2.1使用DEB包安装Wazuh服务器

对于Debian/Ubuntu平台,安装Wazuh服务器组件需要在添加存储库之后安装相关包。

注意:下面描述的许多命令需要使用root用户权限执行。

2.1.1添加Wazuh存储库

设置Wazuh的第一步是将Wazuh存储库添加到服务器。如果您想直接下载wazuh-manager包,或者查看兼容的版本,请单击此处。

1、要执行此过程,必须在系统上安装curl、apt-transport-https和lsb-release包。如果它们还没有出现,请使用以下命令安装它们:

#apt-get update

#apt-get install curl apt-transport-https lsb-release

如果/usr/bin/python文件不存在(如ubuntu16.04 LTS或更高版本),使用以下命令创建到Python(2.7或更高版本)的符号链接:

#if[! -f /usr/bin/python];thenln -s /usr/bin/python3 /usr/bin/python;fi

2、安装GPG密钥:

#curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -

3、添加存储库:

#echo "deb https://packages.wazuh.com/3.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

4、更新包信息:

#apt-get update

2.1.2安装Wazuh管理器

在您的终端上,安装Wazuh管理器:

#apt-get install wazuh-manager

流程完成后,您可以通过以下方式查看服务状态:

对于Systemd:

#systemctl status wazuh-manager

对于SysV Init:

#service wazuh-manager status

2.1.3安装Wazuh API

1、运行Wazuh API需要NodeJS >= 4.6.1。如果您没有安装NodeJS,或者您的版本低于4.6.1,我们建议您像这样添加正式的NodeJS存储库:

#curl -sL https://deb.nodesource.com/setup_8.x | bash -

如果你使用Ubuntu 12.04 (Precise)或Debian 7 (Wheezy),你必须使用以下命令安装NodeJS 6:

#curl -sL https://deb.nodesource.com/setup_6.x | bash -

然后,安装NodeJS:

#apt-get install nodejs

2、为了运行API,需要Python >= 2.7。它是默认安装的,或者包含在大多数Linux发行版的官方存储库中。

要确定系统上的python版本是否低于2.7,可以运行以下命令:

#python --version

It is possible to set a custom Python path for the API in ``/var/ossec/api/configuration/config.js``, in case the stock version of Python in your distro is too old:

3、安装Wazuh API。如果需要,它将更新NodeJS:

#apt-get install wazuh-api

4、流程完成后,您可以通过以下方式查看服务状态:

对于Systemd:

#systemctl status wazuh-api

对于SysV Init:

#service wazuh-api status

5、(可选)禁用Wazuh更新:

建议禁用Wazuh存储库,以防止意外升级。为此,请使用以下命令:

#sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/wazuh.list

#apt-get update

另外,您可以将包状态设置为hold,这将停止更新(尽管您仍然可以使用apt-get安装手动更新它)。

#echo "wazuh-manager hold" | sudo dpkg --set-selections

#echo "wazuh-api hold" | sudo dpkg --set-selections

2.1.4安装Filebeat

Filebeat是Wazuh服务器上的工具,它安全地将警报和存档事件转发到弹性堆栈服务器上的Logstash服务。

注意:在单主机体系结构中(同一系统中安装了Wazuh服务器和弹性堆栈),不需要安装Filebeat,因为Logstash可以直接从本地文件系统读取事件/警报数据,而不需要转发器的帮助。

DEB包适用于Debian、Ubuntu和其他基于Debian的系统。

1、从Elastic安装GPG键,然后从Elastic存储库安装:

#curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch|apt-key add -

#echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main"  | tee /etc/apt/sources.list.d/elastic-6.x.list

#apt-get update

2、安装Filebeat:

#apt-get install filebeat=6.5.4

3、从Wazuh存储库中下载Filebeat配置文件。这是预先配置转发Wazuh警报到Logstash:

#curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.7/extensions/filebeat/filebeat.yml

4、编辑文件/etc/ filebeat/filebeat。用弹性堆栈服务器的IP地址或主机名替换ELASTIC_SERVER_IP。例如:

output:

    logstash:

        hosts:["ELASTIC_SERVER_IP:5000"]

5、启用和启动Filebeat服务:

对于Systemd:

#systemctl daemon-reload

#systemctl enable filebeat.service

#systemctl start filebeat.service

对于SysV Init:

#update-rc.d filebeat defaults 9510

#service filebeat start

6、(可选)禁用Elasticsearch更新:

建议禁用Elasticsearch存储库,以防止由于应用程序可能取消更改而升级到新的弹性堆栈版本。为此,请使用以下命令:

#sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/elastic-6.x.list

#apt-get update

另外,您可以将包状态设置为hold,这将停止更新(尽管您仍然可以使用apt-get安装手动更新它)。

#echo "filebeat hold" | sudo dpkg --set-selections

你可能感兴趣的:(Wazuh安装指南)