环境配置
官方网址Quickstart · Wazuh documentation
可以选择Elastic Stack安装,也可以选择下载虚拟机(OVA)安装
这里展示虚拟机安装
下载好文档中提供的文件
虚拟机配置要求
在VM左上角 文件->打开->刚刚下载的.ova文件,导入即可
默认wazuh-user
密码wazuh
用sudo -i 提升权限
将网络改为桥接模式
重启网卡
systemctl network restart
用远程工具连接即可进入后台
ssh 192.168.171.136
访问
输入默认账号密码admin/admin进入
监控在/var/ossec/logs/alerts下的alerts.log记录
故意输错密码后出现日志,触发了5503(登录失败)和5760(认证失败)规则
安装代理
在wazuh首页点击add agent添加代理
根据提示填写信息
server address填写的是wazuh服务器地址(192.168.171.136)
将最后的代码复制进客户端服务器运行
可以看到已经将客户端添加进wazuh里了
尝试多次输错登录客户端的密码,成功出现告警
