wazuh初探系列一 : wazuh环境配置

目录

方法一:一体化部署

安装先决条件

第一步、安装所有必需的软件包

第二步、安装Elasticsearch

1、添加 Elastic Stack 存储库

安装 GPG 密钥:

添加存储库:

更新源:

2、Elasticsearch安装和配置

安装 Elasticsearch 包:

下载配置文件/etc/elasticsearch/elasticsearch.yml

3、创建和部署证书

下载用于创建证书的配置文件

用elasticsearch-certutil工具创建证书

提取/usr/share/elasticsearch/certs.zip上一步生成的文件

创建目录/etc/elasticsearch/certs,然后将 CA 文件、证书和密钥复制到其中

启用并启动 Elasticsearch 服务

为所有 Elastic Stack 预构建角色和用户生成凭证

上面的命令将提示这样的输出,保存用户的密码elastic以进行进一步的步骤:

要检查安装是否成功,请运行以下命令,替换上一步中为用户生成的密码elastic:

该命令应该有如下输出:

第三步、安装 Wazuh 服务器

1、添加 Wazuh 存储库

安装 GPG 密钥

添加存储库

更新包信息

2、安装 Wazuh 管理器

安装 Wazuh 管理器包

启用并启动 Wazuh 管理器服务

运行以下命令检查 Wazuh 管理器是否处于活动状态

第四步、安装Filebeat

1、安装 Filebeat 包

安装 Filebeat 包

下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件

下载 Elasticsearch 的警报模板

下载 Filebeat 的 Wazuh 模块

编辑该文件/etc/filebeat/filebeat.yml并添加以下行

将证书复制到/etc/filebeat/certs/

启用并启动Filebeat服务

为确保Filebeat已成功安装,请运行以下命令:

该命令应该有如下输出:

第五步、Kibana安装和配置

1、安装 Kibana 包

2、将 Elasticsearch 证书复制到 Kibana 配置文件夹中

3、下载 Kibana 配置文件

4、创建/usr/share/kibana/data目录

5、安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成,如下所示

6、将 Kibana 的套接字链接到特权端口 443

7、启用并启动 Kibana 服务

8、使用Elasticsearch安装过程中生成的密码访问Web界面

方法二:将 Wazuh VM 导入主机操作系统

硬件要求

导入并访问虚拟机

访问 Wazuh 仪表板

配置文件

VirtualBox时间配置

基础配置

下载Vim

下载网络工具包

查看wazuh主要配置文件目录

登录成功,配置完成!!


方法一:一体化部署

安装先决条件

安装时需要一些额外的软件包,例如curlunzip,这些软件包将在后续步骤中使用。但是,如果服务器上已安装curl和 ,则可以跳过此步骤。unzip

准备条件:一个纯净的ubuntu环境

下载vim:

root@wazuh:/home/ubuntu# apt-get install vim 

第一步、安装所有必需的软件包

root@wazuh:/home/ubuntu# apt-get install apt-transport-https zip unzip lsb-release curl gnupg 

第二步、安装Elasticsearch

1、添加 Elastic Stack 存储库

  • 安装 GPG 密钥:

root@wazuh:/home/ubuntu# curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/elasticsearch.gpg --import && chmod 644 /usr/share/keyrings/elasticsearch.gpg

  • 添加存储库:

root@wazuh:/home/ubuntu# echo "deb [signed-by=/usr/share/keyrings/elasticsearch.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-7.x.list

  

  • 更新源:

root@wazuh:/home/ubuntu# apt-get update

2、Elasticsearch安装和配置

  • 安装 Elasticsearch 包:

root@wazuh:/home/ubuntu# apt-get install elasticsearch=7.17.9

这一步需要比较长的时间,请耐心等待……

  • 下载配置文件/etc/elasticsearch/elasticsearch.yml

root@wazuh:/home/ubuntu# curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/elasticsearch_all_in_one.yml

3、创建和部署证书

  • 下载用于创建证书的配置文件

root@wazuh:/home/ubuntu# curl -so /usr/share/elasticsearch/instances.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/instances_aio.yml

在以下步骤中,将创建一个文件,其中包含以此处定义的实例命名的文件夹。该文件夹将包含使用 SSL 与 Elasticsearch 节点通信所需的证书和密钥。

  • 用elasticsearch-certutil工具创建证书

root@wazuh:/home/ubuntu# /usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --keep-ca-key --out ~/certs.zip

  • 提取/usr/share/elasticsearch/certs.zip上一步生成的文件

root@wazuh:/home/ubuntu# unzip ~/certs.zip -d ~/certs

  • 创建目录/etc/elasticsearch/certs,然后将 CA 文件、证书和密钥复制到其中

root@wazuh:/home/ubuntu# mkdir /etc/elasticsearch/certs/ca -p root@wazuh:/home/ubuntu# cp -R ~/certs/ca/ ~/certs/elasticsearch/* /etc/elasticsearch/certs/ root@wazuh:/home/ubuntu# chown -R elasticsearch: /etc/elasticsearch/certs root@wazuh:/home/ubuntu# chmod -R 500 /etc/elasticsearch/certs root@wazuh:/home/ubuntu# chmod 400 /etc/elasticsearch/certs/ca/ca.* /etc/elasticsearch/certs/elasticsearch.* root@wazuh:/home/ubuntu# rm -rf ~/certs/ ~/certs.zip

  • 启用并启动 Elasticsearch 服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable elasticsearch

root@wazuh:/home/ubuntu# systemctl start elasticsearch

  • 为所有 Elastic Stack 预构建角色和用户生成凭证

root@wazuh:/home/ubuntu# /usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto

上面的命令将提示这样的输出,保存用户的密码elastic以进行进一步的步骤:

要检查安装是否成功,请运行以下命令,替换<elastic_password>上一步中为用户生成的密码elastic

root@wazuh:/home/ubuntu# curl -XGET https://localhost:9200 -u elastic:N0l6skCKtAV0ZAi10PXM -k

该命令应该有如下输出:

第三步、安装 Wazuh 服务器

1、添加 Wazuh 存储库

  • 安装 GPG 密钥

root@wazuh:/home/ubuntu# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg

  • 添加存储库

root@wazuh:/home/ubuntu# echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

  • 更新包信息

root@wazuh:/home/ubuntu# apt-get update

2、安装 Wazuh 管理器

  • 安装 Wazuh 管理器包

root@wazuh:/home/ubuntu# apt-get install wazuh-manager

  • 启用并启动 Wazuh 管理器服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable wazuh-manager

root@wazuh:/home/ubuntu# systemctl start wazuh-manager

  • 运行以下命令检查 Wazuh 管理器是否处于活动状态

root@wazuh:/home/ubuntu# systemctl status wazuh-manager

第四步、安装Filebeat

Filebeat 是 Wazuh 服务器上的工具,可将警报和存档事件安全地转发到 Elasticsearch。

1、安装 Filebeat 包

  • 安装 Filebeat 包

root@wazuh:/home/ubuntu# apt-get install filebeat=7.17.9

  • 下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件

root@wazuh:/home/ubuntu# curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/filebeat_all_in_one.yml

  • 下载 Elasticsearch 的警报模板

root@wazuh:/home/ubuntu# curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.5/extensions/elasticsearch/7.x/wazuh-template.json

root@wazuh:/home/ubuntu# chmod go+r /etc/filebeat/wazuh-template.json

  • 下载 Filebeat 的 Wazuh 模块

root@wazuh:/home/ubuntu# curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz | tar -xvz -C /usr/share/filebeat/module

  • 编辑该文件/etc/filebeat/filebeat.yml并添加以下行

root@wazuh:/home/ubuntu# vim /etc/filebeat/filebeat.yml

替换elasticsearch_password为之前为用户生成的密码elastic

output.elasticsearch.password: <elasticsearch_password>

  • 将证书复制到/etc/filebeat/certs/

root@wazuh:/home/ubuntu# cp -r /etc/elasticsearch/certs/ca/ /etc/filebeat/certs/ root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.crt /etc/filebeat/certs/filebeat.crt

root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.key /etc/filebeat/certs/filebeat.key

  • 启用并启动Filebeat服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable filebeat

root@wazuh:/home/ubuntu# systemctl start filebeat

为确保Filebeat已成功安装,请运行以下命令:

root@wazuh:/home/ubuntu# filebeat test output

该命令应该有如下输出:

第五步、Kibana安装和配置

Kibana 是一个灵活直观的 Web 界面,用于挖掘和可视化存储在 Elasticsearch 中的事件和档案。

1、安装 Kibana 包

root@wazuh:/home/ubuntu# apt-get install kibana=7.17.9

2、将 Elasticsearch 证书复制到 Kibana 配置文件夹中

root@wazuh:/home/ubuntu# mkdir /etc/kibana/certs/ca -p

root@wazuh:/home/ubuntu# cp -R /etc/elasticsearch/certs/ca/ /etc/kibana/certs/ root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.key /etc/kibana/certs/kibana.key

root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.crt /etc/kibana/certs/kibana.crt

root@wazuh:/home/ubuntu# chown -R kibana:kibana /etc/kibana/ root@wazuh:/home/ubuntu# chmod -R 500 /etc/kibana/certs

root@wazuh:/home/ubuntu# chmod 440 /etc/kibana/certs/ca/ca.* /etc/kibana/certs/kibana.*

3、下载 Kibana 配置文件

root@wazuh:/home/ubuntu# curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/kibana_all_in_one.yml

编辑/etc/kibana/kibana.yml文件:

root@wazuh:/home/ubuntu# vim /etc/kibana/kibana.yml

要替换的值:

elasticsearch.password: <elasticsearch_password>

N0l6skCKtAV0ZAi10PXM

<elasticsearch_password>`:Elasticsearch安装和配置过程中为用户生成的密码`elastic`

4、创建/usr/share/kibana/data目录

root@wazuh:/home/ubuntu# mkdir /usr/share/kibana/data

root@wazuh:/home/ubuntu# chown -R kibana:kibana /usr/share/kibana

5、安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成,如下所示

root@wazuh:/home/ubuntu# cd /usr/share/kibana

root@wazuh:/usr/share/kibana# sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.5.0_7.17.9-1.zip

6、将 Kibana 的套接字链接到特权端口 443

root@wazuh:/home/ubuntu# setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node

7、启用并启动 Kibana 服务

root@wazuh:/home/ubuntu# systemctl daemon-reload

root@wazuh:/home/ubuntu# systemctl enable kibana

root@wazuh:/home/ubuntu# systemctl start kibana

8、使用Elasticsearch安装过程中生成的密码访问Web界面

URL: https://<wazuh_server_ip>  

user: elastic password: <PASSWORD_elastic>

N0l6skCKtAV0ZAi10PXM

登录成功,awzuh环境配置基本完成!!!

方法二:将 Wazuh VM 导入主机操作系统

硬件要求

在将 Wazuh VM 导入主机操作系统之前,必须满足以下要求:

  • 主机操作系统必须是 64 位系统。

  • 必须在主机的固件上启用硬件虚拟化。

  • 主机系统上应安装虚拟化平台,例如 VirtualBox。

Wazuh VM 开箱即用以下规格进行配置:

成分CPU(核心)内存(GB)存储空间(GB)
Wazuh v4.5.0 OVA4850

但是,可以根据受保护端点和索引警报数据的数量来修改此硬件配置。

导入并访问虚拟机

  1. 将 OVA 导入虚拟化平台。

  2. 如果您使用 VirtualBox,请设置VMSVGA图形控制器。设置另一个图形控制器会冻结 VM 窗口。

    1. 选择导入的虚拟机。

    2. 单击设置>显示

    3. 图形控制器中,选择该VMSVGA选项。

  3. 启动机器。

  4. 使用以下用户名和密码访问虚拟机。您可以使用虚拟化平台或通过 SSH 访问它。

  5. user: wazuh-user password: wazuh

    SSHroot用户登录已被停用;尽管如此,仍wazuh-user保留 sudo 权限。Root权限提升可以通过执行以下命令来实现:

    sudo -i

访问 Wazuh 仪表板

启动 VM 后不久,可以使用以下凭据从 Web 界面访问 Wazuh 仪表板:

URL: https://<wazuh_server_ip>
user: admin
password: admin

您可以<wazuh_server_ip> 通过在VM中输入以下命令来找到:

ip a

配置文件

该虚拟映像中包含的所有组件均配置为开箱即用,无需修改任何设置。然而,所有组件都可以完全定制。这些是配置文件位置:

  • wazuh manager:/var/ossec/etc/ossec.conf

  • Wazuh 索引器:/etc/wazuh-indexer/opensearch.yml

  • Filebeat-OSS:/etc/filebeat/filebeat.yml

  • 瓦祖仪表板:

    • /etc/wazuh-dashboard/opensearch_dashboards.yml

    • /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml

VirtualBox时间配置

在使用 VirtualBox 的情况下,一旦导入虚拟机,当 VirtualBox 同步客户计算机的时间时,可能会遇到由于时间偏差而导致的问题。为了避免这种情况,请在虚拟机配置选项卡中启用该选项。Hardware Clock in UTC Time``System

默认情况下,网络接口类型设置为桥接适配器。VM 将尝试从网络 DHCP 服务器获取 IP 地址。或者,可以通过在 VM 所基于的 Amazon Linux 操作系统中配置适当的网络文件来设置静态 IP 地址。

虚拟机导入并运行后,下一步就是在要监控的系统上部署 Wazuh 代理。

在官网下载.ova文件,之后在VM中导入即可

https://packages.wazuh.com/4.x/vm/wazuh-4.5.0.ova

配置名称,路径,点击导入即可

将默认桥接模式改为NET模式,这样才能查询到IP地址

好处:可以不用配置环境,直接使用

基础配置

下载Vim

下载网络工具包

[root@wazuh-server ~]# yum -y install net-tools

查看wazuh主要配置文件目录

[root@wazuh-server ~]# cd /var/ossec/

账号: username:admin

password:admin

登录成功,配置完成!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/101695.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2023年8月第3周大模型荟萃

2023年8月第3周大模型荟萃 2023.8.22版权声明&#xff1a;本文为博主chszs的原创文章&#xff0c;未经博主允许不得转载。 1、LLM-Adapters&#xff1a;可将多种适配器集成到大语言模型 来自新加坡科技设计大学和新加坡管理大学的研究人员发布了一篇题为《LLM-Adapters: An …

引领娱乐潮流:邀请明星办个人演唱会的五大关键步骤

随着娱乐产业的不断壮大和观众对明星的热情高涨&#xff0c;举办个人演唱会已经成为了一种广受欢迎的文化现象。这种活动不仅让粉丝们有机会亲身近距离感受偶像的音乐魅力&#xff0c;同时也为明星和品牌提供了一个宝贵的互动平台。然而&#xff0c;要成功地邀请明星办个人演唱…

【JAVA基础】 IO详解

【JAVA基础】 IO详解 文章目录 【JAVA基础】 IO详解一、概述二、IO流的作用三、IO流的使用场景四、IO流的分类4.1 传输数据的单位分&#xff1a;4.2 数据传输的方向分&#xff1a;4.3 流的角色的不同分&#xff1a; 五、IO流体系六、字节输入流InputStream七、字节输出流 Outpu…

华为云开发工具CodeArts IDE for C/C++ 开发使用指南

简介 CodeArts IDE是一个集成开发环境&#xff08;IDE&#xff09;&#xff0c;它提供了开发语言和调试服务。本文主要介绍CodeArts IDE for C/C的基本功能。 1.下载安装 CodeArts IDE for C/C 已开放公测&#xff0c;下载获取免费体验 2.新建C/C工程 CodeArts IDE for C/…

一网打尽java注解-克隆-面向对象设计原则-设计模式

文章目录 注解内置注解元注解 对象克隆为什么要克隆&#xff1f;如何克隆浅克隆深克隆 Java设计模式什么是设计模式&#xff1f;为什么要学习设计模式&#xff1f; 建模语言类接口类之间的关系依赖关系关联关系聚合关系组合关系继承关系实现关系 面向对象设计原则单一职责开闭原…

学Pyhton静不下来,看了一堆资料还是很迷茫是为什么

一、前言 最近发现&#xff0c;身边很多的小伙伴学Python都会遇到一个问题&#xff0c;就是资料也看了很多&#xff0c;也花了很多时间去学习但还是很迷茫&#xff0c;时间长了又发现之前学的知识点很多都忘了&#xff0c;都萌生出了想半路放弃的想法。 让我们看看蚂蚁金服的大…

Shell 编程快速入门 之 数学计算和函数基础

目录 1. 求两数之和 整数之和 浮点数之和 2. 计算1-100的和 for...in C风格for循环 while...do until...do while和until的区别 关系运算符 break与continue的区别 3. shell函数基础知识 函数定义 函数名 函数体 参数 返回值 return返回值的含义 return与…

薛定谔的日语学习小程序源码下载

这款学习日语的小程序源码&#xff0c;名为“薛定谔的日语”&#xff0c;首页展示了日语中的50音图&#xff0c;让用户能够看到日语词并跟读发音。 在掌握50音图后&#xff0c;用户还可以进行练习。小程序会随机提问50音图中的某一个&#xff0c;用户需要回答是否正确&#xf…

java八股文面试[java基础]——final 关键字作用

为什么局部内部类和匿名内部类只能访问final变量&#xff1a; 知识来源 【基础】final_哔哩哔哩_bilibili

Redis 整合中 Redisson 的使用

大家好 , 我是苏麟 , 今天带来 Redisson 使用 . 官方文档 : GitHub - redisson/redisson: Redisson - Easy Redis Java client with features of In-Memory Data Grid. Sync/Async/RxJava/Reactive API. Over 50 Redis based Java objects and services: Set, Multimap, Sorte…

DSO 系列文章(2)——DSO点帧管理策略

文章目录 1.点所构成的残差Residual的管理1.1.前端残差的状态1.2.后端点的残差的状态1.3.点的某个残差的删除 2.点Point的管理2.1.如何删除点——点Point的删除2.2.边缘化时删除哪些点&#xff1f; 3.帧FrameHessian的管理 DSO代码注释&#xff1a;https://github.com/Cc19245/…

深入浅出 TCP/IP 协议栈

TCP/IP 协议栈是一系列网络协议的总和&#xff0c;是构成网络通信的核心骨架&#xff0c;它定义了电子设备如何连入因特网&#xff0c;以及数据如何在它们之间进行传输。TCP/IP 协议采用4层结构&#xff0c;分别是应用层、传输层、网络层和链路层&#xff0c;每一层都呼叫它的下…

【Redis】Redis 的学习教程(一)入门基础

1. 简介 Redis 全称&#xff1a;Remote Dictionary Server&#xff08;远程字典服务器&#xff09;&#xff0c;是一款开源的&#xff0c;遵守 BSD 协议&#xff0c;使用 C 语言开发的 key-value 存储系统。简单的说&#xff0c;它是一款跨平台的非关系型数据库&#xff0c;支…

爬虫异常捕获与处理方法详解

Hey&#xff01;作为一名专业的爬虫代理供应商&#xff0c;我今天要和大家分享一些关于爬虫异常捕获与处理的方法。在进行爬虫操作时&#xff0c;我们经常会遇到各种异常情况&#xff0c;例如网络连接错误、请求超时、数据解析错误等等。这些异常情况可能会导致程序崩溃或数据丢…

Nest(3):扫盲篇:TypeScript 类和装饰器

前言 先回顾下前文中介绍了哪些内容&#xff1a; 使用 nestjs/cli 创建和管理 Nest 应用Hello, World 示例代码分析Nest 基本概念&#xff1a;模块&#xff0c;控制器&#xff0c;服务常用的装饰器&#xff1a;Module、Controller、Get、InjectableNest 目录结构分析nest/cli…

21.2 CSS 三大特性与页面布局

1. 开发者工具修改样式 使用开发者工具修改样式, 操作步骤如下: * 1. 打开开发者工具: 在浏览器中右键点击页面, 然后选择检查或者使用快捷键(一般是 F12 或者 CtrlShiftI)来打开开发者工具.* 2. 打开样式编辑器: 在开发者工具中, 找到选项卡或面板, 一般是Elements或者Elemen…

【仿写框架之仿写Tomact】一、详解Tomcat的工作流程

文章目录 1、启动阶段2、监听阶段&#xff1a;3、请求处理阶段&#xff1a;4、发送请求处理后的响应 当涉及到Java Web应用程序的部署和运行&#xff0c;Apache Tomcat无疑是一个备受欢迎的选择。Tomcat作为一个开源的、轻量级的Java Servlet容器和JavaServer Pages (JSP) 容器…

[保研/考研机试] KY124 二叉搜索树 浙江大学复试上机题 C++实现

题目链接&#xff1a; 二叉搜索树_牛客题霸_牛客网判断两序列是否为同一二叉搜索树序列。题目来自【牛客题霸】https://www.nowcoder.com/share/jump/437195121692722892652 描述 判断两序列是否为同一二叉搜索树序列 输入描述&#xff1a; 开始一个数n&#xff0c;(1<…

Sectigo EV代码签名申请步骤

一、EV代码签名申请前提 1、单位成立时间不低于&#xff1a;3个月 2、单位工商及企查查可查 3、单位经营正常 4、注册地址真实存在&#xff0c;禁止使用集中注册地址 5、企查查登记电话和邮箱&#xff0c;确定查询结果的电话可以接听、邮箱可以接收邮件&#xff0c;如果信…