wazuh初探系列一 : wazuh环境配置

news2024/12/23 6:02:03

目录

方法一:一体化部署

安装先决条件

第一步、安装所有必需的软件包

第二步、安装Elasticsearch

1、添加 Elastic Stack 存储库

安装 GPG 密钥:

添加存储库:

更新源:

2、Elasticsearch安装和配置

安装 Elasticsearch 包:

下载配置文件/etc/elasticsearch/elasticsearch.yml

3、创建和部署证书

下载用于创建证书的配置文件

用elasticsearch-certutil工具创建证书

提取/usr/share/elasticsearch/certs.zip上一步生成的文件

创建目录/etc/elasticsearch/certs,然后将 CA 文件、证书和密钥复制到其中

启用并启动 Elasticsearch 服务

为所有 Elastic Stack 预构建角色和用户生成凭证

上面的命令将提示这样的输出,保存用户的密码elastic以进行进一步的步骤:

要检查安装是否成功,请运行以下命令,替换上一步中为用户生成的密码elastic:

该命令应该有如下输出:

第三步、安装 Wazuh 服务器

1、添加 Wazuh 存储库

安装 GPG 密钥

添加存储库

更新包信息

2、安装 Wazuh 管理器

安装 Wazuh 管理器包

启用并启动 Wazuh 管理器服务

运行以下命令检查 Wazuh 管理器是否处于活动状态

第四步、安装Filebeat

1、安装 Filebeat 包

安装 Filebeat 包

下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件

下载 Elasticsearch 的警报模板

下载 Filebeat 的 Wazuh 模块

编辑该文件/etc/filebeat/filebeat.yml并添加以下行

将证书复制到/etc/filebeat/certs/

启用并启动Filebeat服务

为确保Filebeat已成功安装,请运行以下命令:

该命令应该有如下输出:

第五步、Kibana安装和配置

1、安装 Kibana 包

2、将 Elasticsearch 证书复制到 Kibana 配置文件夹中

3、下载 Kibana 配置文件

4、创建/usr/share/kibana/data目录

5、安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成,如下所示

6、将 Kibana 的套接字链接到特权端口 443

7、启用并启动 Kibana 服务

8、使用Elasticsearch安装过程中生成的密码访问Web界面

方法二:将 Wazuh VM 导入主机操作系统

硬件要求

导入并访问虚拟机

访问 Wazuh 仪表板

配置文件

VirtualBox时间配置

基础配置

下载Vim

下载网络工具包

查看wazuh主要配置文件目录

登录成功,配置完成!!


方法一:一体化部署

安装先决条件

安装时需要一些额外的软件包,例如curlunzip,这些软件包将在后续步骤中使用。但是,如果服务器上已安装curl和 ,则可以跳过此步骤。unzip

准备条件:一个纯净的ubuntu环境

下载vim:

root@wazuh:/home/ubuntu# apt-get install vim 

第一步、安装所有必需的软件包

root@wazuh:/home/ubuntu# apt-get install apt-transport-https zip unzip lsb-release curl gnupg 

第二步、安装Elasticsearch

1、添加 Elastic Stack 存储库

  • 安装 GPG 密钥:

root@wazuh:/home/ubuntu# curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/elasticsearch.gpg --import && chmod 644 /usr/share/keyrings/elasticsearch.gpg

  • 添加存储库:

root@wazuh:/home/ubuntu# echo "deb [signed-by=/usr/share/keyrings/elasticsearch.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-7.x.list

  

  • 更新源:

root@wazuh:/home/ubuntu# apt-get update

2、Elasticsearch安装和配置

  • 安装 Elasticsearch 包:

root@wazuh:/home/ubuntu# apt-get install elasticsearch=7.17.9

这一步需要比较长的时间,请耐心等待……

  • 下载配置文件/etc/elasticsearch/elasticsearch.yml

root@wazuh:/home/ubuntu# curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/elasticsearch_all_in_one.yml

3、创建和部署证书

  • 下载用于创建证书的配置文件

root@wazuh:/home/ubuntu# curl -so /usr/share/elasticsearch/instances.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/instances_aio.yml

在以下步骤中,将创建一个文件,其中包含以此处定义的实例命名的文件夹。该文件夹将包含使用 SSL 与 Elasticsearch 节点通信所需的证书和密钥。

  • 用elasticsearch-certutil工具创建证书

root@wazuh:/home/ubuntu# /usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --keep-ca-key --out ~/certs.zip

  • 提取/usr/share/elasticsearch/certs.zip上一步生成的文件

root@wazuh:/home/ubuntu# unzip ~/certs.zip -d ~/certs

  • 创建目录/etc/elasticsearch/certs,然后将 CA 文件、证书和密钥复制到其中

root@wazuh:/home/ubuntu# mkdir /etc/elasticsearch/certs/ca -p root@wazuh:/home/ubuntu# cp -R ~/certs/ca/ ~/certs/elasticsearch/* /etc/elasticsearch/certs/ root@wazuh:/home/ubuntu# chown -R elasticsearch: /etc/elasticsearch/certs root@wazuh:/home/ubuntu# chmod -R 500 /etc/elasticsearch/certs root@wazuh:/home/ubuntu# chmod 400 /etc/elasticsearch/certs/ca/ca.* /etc/elasticsearch/certs/elasticsearch.* root@wazuh:/home/ubuntu# rm -rf ~/certs/ ~/certs.zip

  • 启用并启动 Elasticsearch 服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable elasticsearch

root@wazuh:/home/ubuntu# systemctl start elasticsearch

  • 为所有 Elastic Stack 预构建角色和用户生成凭证

root@wazuh:/home/ubuntu# /usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto

上面的命令将提示这样的输出,保存用户的密码elastic以进行进一步的步骤:

要检查安装是否成功,请运行以下命令,替换<elastic_password>上一步中为用户生成的密码elastic

root@wazuh:/home/ubuntu# curl -XGET https://localhost:9200 -u elastic:N0l6skCKtAV0ZAi10PXM -k

该命令应该有如下输出:

第三步、安装 Wazuh 服务器

1、添加 Wazuh 存储库

  • 安装 GPG 密钥

root@wazuh:/home/ubuntu# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg

  • 添加存储库

root@wazuh:/home/ubuntu# echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

  • 更新包信息

root@wazuh:/home/ubuntu# apt-get update

2、安装 Wazuh 管理器

  • 安装 Wazuh 管理器包

root@wazuh:/home/ubuntu# apt-get install wazuh-manager

  • 启用并启动 Wazuh 管理器服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable wazuh-manager

root@wazuh:/home/ubuntu# systemctl start wazuh-manager

  • 运行以下命令检查 Wazuh 管理器是否处于活动状态

root@wazuh:/home/ubuntu# systemctl status wazuh-manager

第四步、安装Filebeat

Filebeat 是 Wazuh 服务器上的工具,可将警报和存档事件安全地转发到 Elasticsearch。

1、安装 Filebeat 包

  • 安装 Filebeat 包

root@wazuh:/home/ubuntu# apt-get install filebeat=7.17.9

  • 下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件

root@wazuh:/home/ubuntu# curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/filebeat_all_in_one.yml

  • 下载 Elasticsearch 的警报模板

root@wazuh:/home/ubuntu# curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.5/extensions/elasticsearch/7.x/wazuh-template.json

root@wazuh:/home/ubuntu# chmod go+r /etc/filebeat/wazuh-template.json

  • 下载 Filebeat 的 Wazuh 模块

root@wazuh:/home/ubuntu# curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz | tar -xvz -C /usr/share/filebeat/module

  • 编辑该文件/etc/filebeat/filebeat.yml并添加以下行

root@wazuh:/home/ubuntu# vim /etc/filebeat/filebeat.yml

替换elasticsearch_password为之前为用户生成的密码elastic

output.elasticsearch.password: <elasticsearch_password>

  • 将证书复制到/etc/filebeat/certs/

root@wazuh:/home/ubuntu# cp -r /etc/elasticsearch/certs/ca/ /etc/filebeat/certs/ root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.crt /etc/filebeat/certs/filebeat.crt

root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.key /etc/filebeat/certs/filebeat.key

  • 启用并启动Filebeat服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable filebeat

root@wazuh:/home/ubuntu# systemctl start filebeat

为确保Filebeat已成功安装,请运行以下命令:

root@wazuh:/home/ubuntu# filebeat test output

该命令应该有如下输出:

第五步、Kibana安装和配置

Kibana 是一个灵活直观的 Web 界面,用于挖掘和可视化存储在 Elasticsearch 中的事件和档案。

1、安装 Kibana 包

root@wazuh:/home/ubuntu# apt-get install kibana=7.17.9

2、将 Elasticsearch 证书复制到 Kibana 配置文件夹中

root@wazuh:/home/ubuntu# mkdir /etc/kibana/certs/ca -p

root@wazuh:/home/ubuntu# cp -R /etc/elasticsearch/certs/ca/ /etc/kibana/certs/ root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.key /etc/kibana/certs/kibana.key

root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.crt /etc/kibana/certs/kibana.crt

root@wazuh:/home/ubuntu# chown -R kibana:kibana /etc/kibana/ root@wazuh:/home/ubuntu# chmod -R 500 /etc/kibana/certs

root@wazuh:/home/ubuntu# chmod 440 /etc/kibana/certs/ca/ca.* /etc/kibana/certs/kibana.*

3、下载 Kibana 配置文件

root@wazuh:/home/ubuntu# curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/kibana_all_in_one.yml

编辑/etc/kibana/kibana.yml文件:

root@wazuh:/home/ubuntu# vim /etc/kibana/kibana.yml

要替换的值:

elasticsearch.password: <elasticsearch_password>

N0l6skCKtAV0ZAi10PXM

<elasticsearch_password>`:Elasticsearch安装和配置过程中为用户生成的密码`elastic`

4、创建/usr/share/kibana/data目录

root@wazuh:/home/ubuntu# mkdir /usr/share/kibana/data

root@wazuh:/home/ubuntu# chown -R kibana:kibana /usr/share/kibana

5、安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成,如下所示

root@wazuh:/home/ubuntu# cd /usr/share/kibana

root@wazuh:/usr/share/kibana# sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.5.0_7.17.9-1.zip

6、将 Kibana 的套接字链接到特权端口 443

root@wazuh:/home/ubuntu# setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node

7、启用并启动 Kibana 服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable kibana

root@wazuh:/home/ubuntu# systemctl start kibana

8、使用Elasticsearch安装过程中生成的密码访问Web界面

URL: https://<wazuh_server_ip>  

user: elastic password: <PASSWORD_elastic>

N0l6skCKtAV0ZAi10PXM

登录成功,awzuh环境配置基本完成!!!

方法二:将 Wazuh VM 导入主机操作系统

硬件要求

在将 Wazuh VM 导入主机操作系统之前,必须满足以下要求:

  • 主机操作系统必须是 64 位系统。

  • 必须在主机的固件上启用硬件虚拟化。

  • 主机系统上应安装虚拟化平台,例如 VirtualBox。

Wazuh VM 开箱即用以下规格进行配置:

成分CPU(核心)内存(GB)存储空间(GB)
Wazuh v4.5.0 OVA4850

但是,可以根据受保护端点和索引警报数据的数量来修改此硬件配置。

导入并访问虚拟机

  1. 将 OVA 导入虚拟化平台。

  2. 如果您使用 VirtualBox,请设置VMSVGA图形控制器。设置另一个图形控制器会冻结 VM 窗口。

    1. 选择导入的虚拟机。

    2. 单击设置>显示

    3. 图形控制器中,选择该VMSVGA选项。

  3. 启动机器。

  4. 使用以下用户名和密码访问虚拟机。您可以使用虚拟化平台或通过 SSH 访问它。

  5. user: wazuh-user password: wazuh

    SSHroot用户登录已被停用;尽管如此,仍wazuh-user保留 sudo 权限。Root权限提升可以通过执行以下命令来实现:

    sudo -i

访问 Wazuh 仪表板

启动 VM 后不久,可以使用以下凭据从 Web 界面访问 Wazuh 仪表板:

URL: https://<wazuh_server_ip>
user: admin
password: admin

您可以<wazuh_server_ip> 通过在VM中输入以下命令来找到:

ip a

配置文件

该虚拟映像中包含的所有组件均配置为开箱即用,无需修改任何设置。然而,所有组件都可以完全定制。这些是配置文件位置:

  • wazuh manager:/var/ossec/etc/ossec.conf

  • Wazuh 索引器:/etc/wazuh-indexer/opensearch.yml

  • Filebeat-OSS:/etc/filebeat/filebeat.yml

  • 瓦祖仪表板:

    • /etc/wazuh-dashboard/opensearch_dashboards.yml

    • /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml

VirtualBox时间配置

在使用 VirtualBox 的情况下,一旦导入虚拟机,当 VirtualBox 同步客户计算机的时间时,可能会遇到由于时间偏差而导致的问题。为了避免这种情况,请在虚拟机配置选项卡中启用该选项。Hardware Clock in UTC Time``System

默认情况下,网络接口类型设置为桥接适配器。VM 将尝试从网络 DHCP 服务器获取 IP 地址。或者,可以通过在 VM 所基于的 Amazon Linux 操作系统中配置适当的网络文件来设置静态 IP 地址。

虚拟机导入并运行后,下一步就是在要监控的系统上部署 Wazuh 代理。

在官网下载.ova文件,之后在VM中导入即可

https://packages.wazuh.com/4.x/vm/wazuh-4.5.0.ova

配置名称,路径,点击导入即可

将默认桥接模式改为NET模式,这样才能查询到IP地址

好处:可以不用配置环境,直接使用

基础配置

下载Vim

下载网络工具包

[root@wazuh-server ~]# yum -y install net-tools

查看wazuh主要配置文件目录

[root@wazuh-server ~]# cd /var/ossec/

账号: username:admin

password:admin

登录成功,配置完成!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/912244.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

解决问题:C++ [某变量名] was not declared in this scope

目录 程序报错的问题 查看程序问题 发现错误代码 错误原因 修改代码 再次运行 程序报错的问题 查看程序问题 发现错误代码 cout<<c; 错误原因 c 这个变量还没有在这个程序中定义 修改代码 加上 int c; 再次运行

算法:二分查找算法/朴素二分/查找区间左右端点二分

文章目录 实现原理查找区间左右端点查找左端点查找右端点 实现思路朴素二分查找模板查找区间左右端点模板 典型例题二分查找查找元素第一个和最后一个位置x的平方根山脉数组峰顶索引 总结 实现原理 通常来说&#xff0c;二分查找的使用范围是当数组有序的时候可以使用&#xf…

2023年夏季《移动软件开发》实验报告2

2023年夏季《移动软件开发》实验报告 姓名和学号&#xff1f;本实验属于哪门课程&#xff1f;中国海洋大学23夏《移动软件开发》实验名称&#xff1f;实验2&#xff1a;天气查询小程序博客地址&#xff1f;XXXXXXXGithub仓库地址&#xff1f;XXXXXXX &#xff08;备注&#x…

MyBaits注解开发

1、注解开发介绍 在过去使用框架开发项目&#xff0c;基本都采用xml作为框架的核心配置文件存在&#xff0c;但是这种方式开发效率还是比较地下、不灵活。 现在企业开发为了能够更快的提高开发效率&#xff0c;必然会使用企业级框架进行项目开发&#xff0c;而现在主流的框架…

华人画家戴渭作品 3000 万拍出,牛津艺术学院发出任教邀请

爱丁堡,2023年7月 - 画家戴渭以他独特的画风、深邃的意境和慈悲智慧的属性,将艺术与宗教融合于作品之中。初看他的作品,可能会被其高超的艺术水准所震撼,然而仔细品味,方能领略到他深邃的艺术造诣与宗教智慧的深度融合。 作为国内最年轻的华人80后画家之一,戴渭近期被英国牛津…

若依cloud -【 22 ~ 25 】

22 认证中心介绍 1 概述 用户身份认证的过程ruoyi-cloud认证中心的实现没有依赖任何插件&#xff0c;相对简单&#xff0c;一看就懂从架构图的角度看认证中心&#xff1a; 登录请求&#xff0c;进到网关网关直接调用认证中心。查看ruoyi-gateway-dev.yml&#xff1a; # 结论…

【历史上的今天】8 月 22 日:改变世界的程序员们;网络直播的鼻祖;何小鹏离开阿里巴巴

整理 | 王启隆 透过「历史上的今天」&#xff0c;从过去看未来&#xff0c;从现在亦可以改变未来。 今天 2023 年 8 月 22 日。历史上的今天&#xff0c;Masatoshi Shima 出生&#xff0c;他和 英特尔&#xff08;Intel&#xff09; 合作设计的芯片让第一个微处理器 Intel 400…

【SpringSecurity】二、密码处理与获取当前登录用户

文章目录 一、密码处理1、加密方案2、BCryptPasswordEncoder类初体验3、使用加密码加密 二、获取当前登录用户1、方式一&#xff1a;通过安全上下文的静态调用2、方式二&#xff1a;做为Controller中方法的参数3、方式三&#xff1a;从HTTPServletRequest中获取4、方式四&#…

无涯教程-PHP Installation on Windows NT/2000/XP with IIS函数

在Windows Server上运行IIS的PHP的安装比在Unix上简单得多,因为它涉及的是预编译的二进制文件而不是源代码。 如果您打算在Windows上安装PHP,那么这是先决条件列表- 运行中的PHP支持的Web服务器。一个正确安装的PHP支持的数据库,如MySQL或Oracle等。(如果您打算使用的话) PHP…

smiley-http-proxy-servlet 实现springboot 接口反向代理,站点代理,项目鉴权,安全的引入第三方项目服务

背景&#xff1a; 项目初期 和硬件集成&#xff0c;实现了些功能服务&#xff0c;由于是局域网环境&#xff0c;安全问题当时都可以最小化无视。随着对接的服务越来越多&#xff0c;部分功能上云&#xff0c;此时就需要有一种手段可以控制到其他项目/接口的访问权限。 无疑 反向…

硬件解码example

使用方法&#xff1a; ./hw_decode vaapi juren-30s.mp4 juren-30s.mp4 验证播放&#xff1a; ffplay -video_size 1920x1080 -pixel_format yuv420p juren-30s.yuv av_hwdevice_iterate_types(type)如果你填入的参数不对&#xff0c;那么这函数这个函数的作用相当于以下命令&…

飞天使-k8s基础组件分析-pod

文章目录 pod介绍pod 生命周期init 容器容器handlerpod中容器共享进程空间sidecar 容器共享 参考链接 pod介绍 最小的容器单元 为啥需要pod? 答: 多个进程丢一个容器里&#xff0c;会因为容器里个别进程出问题而出现蝴蝶效应&#xff0c;pod 是更高级的处理方式pod 如何共享相…

简述docker映射(Mapping)和挂载(Mounting)

映射的概念&#xff1a; 将容器内的端口映射到主机的端口上&#xff0c;这样就可以通过主机的网络接口与容器内部进行通信。主机上对应端口的请求会被转发到容器内部&#xff0c;从而实现对容器内部程序的通信访问&#xff08;注意&#xff01;这里提到的容器内部的端口并不一定…

网络安全(黑客)了解学习路线

谈起黑客&#xff0c;可能各位都会想到&#xff1a;盗号&#xff0c;其实不尽然&#xff1b;黑客是一群喜爱研究技术的群体&#xff0c;在黑客圈中&#xff0c;一般分为三大圈&#xff1a;娱乐圈 技术圈 职业圈。 娱乐圈&#xff1a;主要是初中生和高中生较多&#xff0c;玩网恋…

EasyImage简单图床 - 快速搭建私人图床云盘同时远程访问【无公网IP内网穿透】

憧憬blog主页 在强者的眼中&#xff0c;没有最好&#xff0c;只有更好。我们是移动开发领域的优质创作者&#xff0c;同时也是阿里云专家博主。 ✨ 关注我们的主页&#xff0c;探索iOS开发的无限可能&#xff01; &#x1f525;我们与您分享最新的技术洞察和实战经验&#xff0…

阿里云CDN加速器基本概念与购买开通

文章目录 1.CDN加速器的基本概念1.1.CDN加速器基本介绍1.2.网站引入CDN加速器的架构图1.3.CDN加速器的工作原理1.4.引入CDN后域名解析变成了CNAME&#xff1f; 2.开通阿里云CDN加速服务 1.CDN加速器的基本概念 CDN加速器官方文档&#xff1a;https://help.aliyun.com/product/…

USB音频芯片SSS1700 鑫创优势替代CM6533参考设计|SSS1700规格24bit 96KHZ |替换CM6533方案

Cmedia CM6533是一款US B音频编解码器&#xff0c;内部嵌入8051内核&#xff0c;适用于耳麦&#xff0c;移动娱乐设备直插移动音箱&#xff08;docking&#xff09;&#xff0c;US B音箱&#xff0c;US B麦克风等应用。通过内部8051可以研发出各种应用&#xff0c;例如微软语音…

vue3 pdf、word等文件下载

效果&#xff1a; <div class"byLawBox"><div class"titleBox">规章制度公示</div><div class"contentBox"><TableList:loading"byLawloading"ref"byLawtablistRef":hasImport"false"…

Unity - 特殊文件夹

地址记录&#xff1a;https://www.cnblogs.com/zouqiang/p/6841399.html Assets Assets文件夹是unity项目中放置游戏资源的主文件夹。 该文件夹中的内容将直接反应在编辑器的Project视口中。许多系统API基于该文件夹路径。 Resources Unity允许你按需动态加载游戏资源到场景中…