目录

方法一：一体化部署

安装先决条件

第一步、安装所有必需的软件包

第二步、安装Elasticsearch

1、添加 Elastic Stack 存储库

安装 GPG 密钥：

添加存储库：

更新源：

2、Elasticsearch安装和配置

安装 Elasticsearch 包：

下载配置文件/etc/elasticsearch/elasticsearch.yml

3、创建和部署证书

下载用于创建证书的配置文件

用elasticsearch-certutil工具创建证书

提取/usr/share/elasticsearch/certs.zip上一步生成的文件

创建目录/etc/elasticsearch/certs，然后将 CA 文件、证书和密钥复制到其中

启用并启动 Elasticsearch 服务

为所有 Elastic Stack 预构建角色和用户生成凭证

上面的命令将提示这样的输出，保存用户的密码elastic以进行进一步的步骤：

要检查安装是否成功，请运行以下命令，替换上一步中为用户生成的密码elastic：

该命令应该有如下输出：

第三步、安装 Wazuh 服务器

1、添加 Wazuh 存储库

安装 GPG 密钥

添加存储库

更新包信息

2、安装 Wazuh 管理器

安装 Wazuh 管理器包

启用并启动 Wazuh 管理器服务

运行以下命令检查 Wazuh 管理器是否处于活动状态

第四步、安装Filebeat

1、安装 Filebeat 包

安装 Filebeat 包

下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件

下载 Elasticsearch 的警报模板

下载 Filebeat 的 Wazuh 模块

编辑该文件/etc/filebeat/filebeat.yml并添加以下行

将证书复制到/etc/filebeat/certs/

启用并启动Filebeat服务

为确保Filebeat已成功安装，请运行以下命令：

该命令应该有如下输出：

第五步、Kibana安装和配置

1、安装 Kibana 包

2、将 Elasticsearch 证书复制到 Kibana 配置文件夹中

3、下载 Kibana 配置文件

4、创建/usr/share/kibana/data目录

5、安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成，如下所示

6、将 Kibana 的套接字链接到特权端口 443

7、启用并启动 Kibana 服务

8、使用Elasticsearch安装过程中生成的密码访问Web界面

方法二：将 Wazuh VM 导入主机操作系统

硬件要求

导入并访问虚拟机

访问 Wazuh 仪表板

配置文件

VirtualBox时间配置

基础配置

下载Vim

下载网络工具包

查看wazuh主要配置文件目录

登录成功，配置完成！！

---

方法一：一体化部署

安装先决条件

安装时需要一些额外的软件包，例如curl或unzip，这些软件包将在后续步骤中使用。但是，如果服务器上已安装curl和 ，则可以跳过此步骤。unzip

准备条件：一个纯净的ubuntu环境

下载vim：

root@wazuh:/home/ubuntu# apt-get install vim 

第一步、安装所有必需的软件包

root@wazuh:/home/ubuntu# apt-get install apt-transport-https zip unzip lsb-release curl gnupg 

第二步、安装Elasticsearch

1、添加 Elastic Stack 存储库

• 安装 GPG 密钥：

root@wazuh:/home/ubuntu# curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/elasticsearch.gpg --import && chmod 644 /usr/share/keyrings/elasticsearch.gpg

• 添加存储库：

root@wazuh:/home/ubuntu# echo "deb [signed-by=/usr/share/keyrings/elasticsearch.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-7.x.list

  

• 更新源：

root@wazuh:/home/ubuntu# apt-get update

2、Elasticsearch安装和配置

• 安装 Elasticsearch 包：

root@wazuh:/home/ubuntu# apt-get install elasticsearch=7.17.9

这一步需要比较长的时间，请耐心等待……

• 下载配置文件/etc/elasticsearch/elasticsearch.yml

root@wazuh:/home/ubuntu# curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/elasticsearch_all_in_one.yml

3、创建和部署证书

• 下载用于创建证书的配置文件

root@wazuh:/home/ubuntu# curl -so /usr/share/elasticsearch/instances.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/instances_aio.yml

在以下步骤中，将创建一个文件，其中包含以此处定义的实例命名的文件夹。该文件夹将包含使用 SSL 与 Elasticsearch 节点通信所需的证书和密钥。

• 用elasticsearch-certutil工具创建证书

root@wazuh:/home/ubuntu# /usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --keep-ca-key --out ~/certs.zip

• 提取/usr/share/elasticsearch/certs.zip上一步生成的文件

root@wazuh:/home/ubuntu# unzip ~/certs.zip -d ~/certs

• 创建目录/etc/elasticsearch/certs，然后将 CA 文件、证书和密钥复制到其中

root@wazuh:/home/ubuntu# mkdir /etc/elasticsearch/certs/ca -p root@wazuh:/home/ubuntu# cp -R ~/certs/ca/ ~/certs/elasticsearch/* /etc/elasticsearch/certs/ root@wazuh:/home/ubuntu# chown -R elasticsearch: /etc/elasticsearch/certs root@wazuh:/home/ubuntu# chmod -R 500 /etc/elasticsearch/certs root@wazuh:/home/ubuntu# chmod 400 /etc/elasticsearch/certs/ca/ca.* /etc/elasticsearch/certs/elasticsearch.* root@wazuh:/home/ubuntu# rm -rf ~/certs/ ~/certs.zip

• 启用并启动 Elasticsearch 服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable elasticsearch

root@wazuh:/home/ubuntu# systemctl start elasticsearch

• 为所有 Elastic Stack 预构建角色和用户生成凭证

root@wazuh:/home/ubuntu# /usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto

上面的命令将提示这样的输出，保存用户的密码elastic以进行进一步的步骤：

要检查安装是否成功，请运行以下命令，替换<elastic_password>上一步中为用户生成的密码elastic：

root@wazuh:/home/ubuntu# curl -XGET https://localhost:9200 -u elastic:N0l6skCKtAV0ZAi10PXM -k

该命令应该有如下输出：

第三步、安装 Wazuh 服务器

1、添加 Wazuh 存储库

• 安装 GPG 密钥

root@wazuh:/home/ubuntu# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg

• 添加存储库

root@wazuh:/home/ubuntu# echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

• 更新包信息

root@wazuh:/home/ubuntu# apt-get update

2、安装 Wazuh 管理器

• 安装 Wazuh 管理器包

root@wazuh:/home/ubuntu# apt-get install wazuh-manager

• 启用并启动 Wazuh 管理器服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable wazuh-manager

root@wazuh:/home/ubuntu# systemctl start wazuh-manager

• 运行以下命令检查 Wazuh 管理器是否处于活动状态

root@wazuh:/home/ubuntu# systemctl status wazuh-manager

第四步、安装Filebeat

Filebeat 是 Wazuh 服务器上的工具，可将警报和存档事件安全地转发到 Elasticsearch。

1、安装 Filebeat 包

• 安装 Filebeat 包

root@wazuh:/home/ubuntu# apt-get install filebeat=7.17.9

• 下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件

root@wazuh:/home/ubuntu# curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/filebeat_all_in_one.yml

• 下载 Elasticsearch 的警报模板

root@wazuh:/home/ubuntu# curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.5/extensions/elasticsearch/7.x/wazuh-template.json

root@wazuh:/home/ubuntu# chmod go+r /etc/filebeat/wazuh-template.json

• 下载 Filebeat 的 Wazuh 模块

root@wazuh:/home/ubuntu# curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz | tar -xvz -C /usr/share/filebeat/module

• 编辑该文件/etc/filebeat/filebeat.yml并添加以下行

root@wazuh:/home/ubuntu# vim /etc/filebeat/filebeat.yml

替换elasticsearch_password为之前为用户生成的密码elastic

output.elasticsearch.password: <elasticsearch_password>

• 将证书复制到/etc/filebeat/certs/

root@wazuh:/home/ubuntu# cp -r /etc/elasticsearch/certs/ca/ /etc/filebeat/certs/ root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.crt /etc/filebeat/certs/filebeat.crt

root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.key /etc/filebeat/certs/filebeat.key

• 启用并启动Filebeat服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable filebeat

root@wazuh:/home/ubuntu# systemctl start filebeat

为确保Filebeat已成功安装，请运行以下命令：

root@wazuh:/home/ubuntu# filebeat test output

该命令应该有如下输出：

第五步、Kibana安装和配置

Kibana 是一个灵活直观的 Web 界面，用于挖掘和可视化存储在 Elasticsearch 中的事件和档案。

1、安装 Kibana 包

root@wazuh:/home/ubuntu# apt-get install kibana=7.17.9

2、将 Elasticsearch 证书复制到 Kibana 配置文件夹中

root@wazuh:/home/ubuntu# mkdir /etc/kibana/certs/ca -p

root@wazuh:/home/ubuntu# cp -R /etc/elasticsearch/certs/ca/ /etc/kibana/certs/ root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.key /etc/kibana/certs/kibana.key

root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.crt /etc/kibana/certs/kibana.crt

root@wazuh:/home/ubuntu# chown -R kibana:kibana /etc/kibana/ root@wazuh:/home/ubuntu# chmod -R 500 /etc/kibana/certs

root@wazuh:/home/ubuntu# chmod 440 /etc/kibana/certs/ca/ca.* /etc/kibana/certs/kibana.*

3、下载 Kibana 配置文件

root@wazuh:/home/ubuntu# curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/kibana_all_in_one.yml

编辑/etc/kibana/kibana.yml文件：

root@wazuh:/home/ubuntu# vim /etc/kibana/kibana.yml

要替换的值：

elasticsearch.password: <elasticsearch_password>

N0l6skCKtAV0ZAi10PXM

<elasticsearch_password>`：Elasticsearch安装和配置过程中为用户生成的密码`elastic`

4、创建/usr/share/kibana/data目录

root@wazuh:/home/ubuntu# mkdir /usr/share/kibana/data

root@wazuh:/home/ubuntu# chown -R kibana:kibana /usr/share/kibana

5、安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成，如下所示

root@wazuh:/home/ubuntu# cd /usr/share/kibana

root@wazuh:/usr/share/kibana# sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.5.0_7.17.9-1.zip

6、将 Kibana 的套接字链接到特权端口 443

root@wazuh:/home/ubuntu# setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node

7、启用并启动 Kibana 服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable kibana

root@wazuh:/home/ubuntu# systemctl start kibana

8、使用Elasticsearch安装过程中生成的密码访问Web界面

URL: https://<wazuh_server_ip>  

user: elastic password: <PASSWORD_elastic>

N0l6skCKtAV0ZAi10PXM

登录成功，awzuh环境配置基本完成！！！

方法二：将 Wazuh VM 导入主机操作系统

硬件要求

在将 Wazuh VM 导入主机操作系统之前，必须满足以下要求：

• 主机操作系统必须是 64 位系统。

• 必须在主机的固件上启用硬件虚拟化。

• 主机系统上应安装虚拟化平台，例如 VirtualBox。

Wazuh VM 开箱即用以下规格进行配置：

成分	CPU（核心）	内存（GB）	存储空间（GB）
Wazuh v4.5.0 OVA	4	8	50

但是，可以根据受保护端点和索引警报数据的数量来修改此硬件配置。

导入并访问虚拟机

1. 将 OVA 导入虚拟化平台。

2. 如果您使用 VirtualBox，请设置VMSVGA图形控制器。设置另一个图形控制器会冻结 VM 窗口。

   1. 选择导入的虚拟机。

   2. 单击设置>显示

   3. 在图形控制器中，选择该VMSVGA选项。

3. 启动机器。

4. 使用以下用户名和密码访问虚拟机。您可以使用虚拟化平台或通过 SSH 访问它。

5. user: wazuh-user password: wazuh

   SSHroot用户登录已被停用；尽管如此，仍wazuh-user保留 sudo 权限。Root权限提升可以通过执行以下命令来实现：

   sudo -i

访问 Wazuh 仪表板

启动 VM 后不久，可以使用以下凭据从 Web 界面访问 Wazuh 仪表板：

URL: https://<wazuh_server_ip>
user: admin
password: admin

您可以<wazuh_server_ip> 通过在VM中输入以下命令来找到：

ip a

配置文件

该虚拟映像中包含的所有组件均配置为开箱即用，无需修改任何设置。然而，所有组件都可以完全定制。这些是配置文件位置：

• wazuh manager：/var/ossec/etc/ossec.conf

• Wazuh 索引器：/etc/wazuh-indexer/opensearch.yml

• Filebeat-OSS：/etc/filebeat/filebeat.yml

• 瓦祖仪表板：

  • /etc/wazuh-dashboard/opensearch_dashboards.yml

  • /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml

VirtualBox时间配置

在使用 VirtualBox 的情况下，一旦导入虚拟机，当 VirtualBox 同步客户计算机的时间时，可能会遇到由于时间偏差而导致的问题。为了避免这种情况，请在虚拟机配置选项卡中启用该选项。Hardware Clock in UTC Time``System

默认情况下，网络接口类型设置为桥接适配器。VM 将尝试从网络 DHCP 服务器获取 IP 地址。或者，可以通过在 VM 所基于的 Amazon Linux 操作系统中配置适当的网络文件来设置静态 IP 地址。

虚拟机导入并运行后，下一步就是在要监控的系统上部署 Wazuh 代理。

在官网下载.ova文件，之后在VM中导入即可

https://packages.wazuh.com/4.x/vm/wazuh-4.5.0.ova

配置名称，路径，点击导入即可

将默认桥接模式改为NET模式，这样才能查询到IP地址

好处：可以不用配置环境，直接使用

基础配置

下载Vim

下载网络工具包

[root@wazuh-server ~]# yum -y install net-tools

查看wazuh主要配置文件目录

[root@wazuh-server ~]# cd /var/ossec/

账号： username:admin

password:admin

登录成功，配置完成！！