文档ing Wazuh——Agent(未完待续)

最新推荐文章于 2025-10-08 20:02:17 发布
翻译 最新推荐文章于 2025-10-08 20:02:17 发布 · 1.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://documentation.wazuh.com/current/user-manual/reference/daemons/ossec-logcollector.html?highlight=logcollector
文章标签:

#linux

本文介绍Wazuh安全监控系统的整体架构及其Agent端功能,包括日志收集、文件完整性监控、异常与恶意软件检测等。同时展示了如何配置远程接收系统日志及安全配置评估方法。

Wazuh由三部分组成:Agent端Server端ES
下图是官方给出的整体架构图:
在这里插入图片描述
server端收集数据以日志形式加密后发送到manager,经过解码和规则匹配生成事件和告警通过filebeat采集送到ES之中,经过logstash进行数据处理在kibana上展示出来。

Agent

agent端负责信息收集,预防威胁和检测、响应功能,详细介绍继续观看呦~~
下图为官方给出的Agent端详细架构:
在这里插入图片描述
以下是他的部分功能~~

Log collector

这个模块可以读取日志信息和Windows事件
在这里插入图片描述
包含的logcollector模块收集信息后将数据收集起来送到server端进行分析
这里实现了远程接收系统日志:(自定义端口接受和存储在纯文本文件里)

<ossec_config>
  <remote>
    <connection>syslog</connection>
    <port>513</port>
    <protocol>tcp</protocol>
    <allowed-ips>192.168.2.0/24</allowed-ips>
  </remote>
</ossec_config>

实现自定义端口的代码里表明了

  • manager会接收从网络传来的系统日志信息
  • 定义wazuh需要监听检索日志的端口为空闲端口513
  • 定义了传输协议
  • 定义日志来源IP
File integrity monitoring

该模块定期扫描,把受监视的文件与之前对比是否存在修改、删除、新增然后将结果同步到数据库并且输送到manager。如果存在差别便会生成报警。
kibana中可以实时看到可视化结果在这里插入图片描述

Anomaly and malware detection

这个模块主要包含功能有

文件监控
监控注册表
系统调用
rootkit签名
在这里插入图片描述

Security Configuration Assessment

安全配置评估(SCA),通过扫描策略文件评估主机是否安全
在这里插入图片描述

Monitoring security policies——>Rootcheck

通过根检查引擎查看:

  • 检查进程是否正在运行
  • 检查文件是否存在
  • 检查文件的内容是否包含模式,或者Windows注册表项是否包含字符串或仅存在。

在这里插入图片描述

Monitoring system calls

是Linux系统会提供的服务哦~通过追踪到的安全事件信息和规则进行匹配,查看是否违反安全策略的设定。

Command monitoring

wazuh会收集Agent端特定的需要监视的命令以日志的形式发送给server。可以监视正在运行的Windows进程,磁盘空间的利用率,检查输出是否更改,平均负载和USB的存储

在这里插入图片描述

Active Response

当使用规则触发警报时,会采取自动对策来执行对应脚本
在这里插入图片描述

Agent Labels

将不同的代理组分类,分组将会展示在JSON格式的输出里,例如!

{
  "timestamp": "2017-03-07T13:31:41-0800",
  "rule": {
    "level": 7,
    "description": "Integrity checksum changed.",
    "id": "550",
    "firedtimes": 1,
    "groups": [
      "ossec",
      "syscheck"
    ],
    "pci_dss": [
      "11.5"
    ]
  },
  "agent": {
    "id": "001",
    "name": "92603de31548",
    "ip": "192.168.66.1",
    "labels": {
      "aws": {
        "instance-id": "i-052a1838c",
        "sec-group": "sg-1103"
      },
      "network": {
        "ip": "172.17.0.0",
        "mac": "02:42:ac:11:00:02"
      }
    }
  },
  "manager": {
    "name": "ubuntu"
  },
  "full_log": "Integrity checksum changed for: '/var/ossec/etc/ossec.conf' Size changed from '3663' to '3664' Old md5sum was: '98b351df146410f174a967d726f9965e' New md5sum is : '7f4f5846dcaa0013a91bd6d3ac4a1915' Old sha1sum was: 'c6368b866a835b15baf20976ae5ea7ea2788a30e' New sha1sum is : 'c959321244bdcec824ff0a32cad6d4f1246f53e9'",
  "syscheck": {
    "path": "/var/ossec/etc/ossec.conf",
    "size_before": "3663",
    "size_after": "3664",
    "perm_after": "100640",
    "uid_after": "0",
    "gid_after": "999",
    "md5_before": "98b351df146410f174a967d726f9965e",
    "md5_after": "7f4f5846dcaa0013a91bd6d3ac4a1915",
    "sha1_before": "c6368b866a835b15baf20976ae5ea7ea2788a30e",
    "sha1_after": "c959321244bdcec824ff0a32cad6d4f1246f53e9",
    "event": "modified"
  },
  "decoder": {
    "name": "syscheck_integrity_changed"
  },
  "location": "syscheck"
}

或者是以电子邮件的形式:!!

Wazuh Notification.
2017 Mar 07 13:31:41

Received From: (92603de31548) 192.168.66.1->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):

aws.instance-id: i-052a1838c
aws.sec-group: sg-1103
network.ip: 172.17.0.0
network.mac: 02:42:ac:11:00:02
Integrity checksum changed for: '/var/ossec/etc/ossec.conf'
Old md5sum was: '98b351df146410f174a967d726f9965e'
New md5sum is : '7f4f5846dcaa0013a91bd6d3ac4a1915'
Old sha1sum was: 'c6368b866a835b15baf20976ae5ea7ea2788a30e'
New sha1sum is : 'c959321244bdcec824ff0a32cad6d4f1246f53e9'
System inventory

在这个模块,使用Syscollector收集信息,比如系统硬件组件的基本信息、操作系统的基本信息等等…
下面给出了它适用的操作系统以及扫描的模块:
在这里插入图片描述

Vulnerability detection

可以检测agent端已安装的应用程序是否存在漏洞定期发送给server端

VirusTotal integration

从3.0.0版本开始wazuh就可以集成VirusTotal扫描文件中是否包含恶意内容(病毒,蠕虫,特洛伊木马)

Osquery

从3.5.0版本开始可以设置Osquery配置并收集由Osquery生成的信息以将其发送给manager,并在必要时生成相应的警报。
eg:

{
"timestamp": "2018-07-30T13:54:46.476+0000",
"rule": {
    "level": 3,
    "description": "osquery data grouped",
    "id": "24010",
    "firedtimes": 207,
    "mail": false,
    "groups": [
    "osquery"
    ]
},
"agent": {
    "id": "000",
    "name": "manager"
},
"manager": {
    "name": "manager"
},
"id": "1532958886.437707",
"full_log": "{\"name\":\"system_info\",\"hostIdentifier\":\"manager\",\"calendarTime\":\"Mon Jul 30 13:54:45 2018 UTC\",\"unixTime\":1532958885,\"epoch\":0,\"counter\":461,\"columns\":{\"cgroup_namespace\":\"4026531835\",\"cmdline\":\"\",\"cwd\":\"/\",\"disk_bytes_read\":\"0\",\"disk_bytes_written\":\"0\",\"egid\":\"0\",\"euid\":\"0\",\"gid\":\"0\",\"ipc_namespace\":\"4026531839\",\"mnt_namespace\":\"4026531840\",\"name\":\"migration/0\",\"net_namespace\":\"4026531957\",\"nice\":\"0\",\"on_disk\":\"-1\",\"parent\":\"2\",\"path\":\"\",\"pgroup\":\"0\",\"pid\":\"9\",\"pid_namespace\":\"4026531836\",\"resident_size\":\"\",\"root\":\"/\",\"sgid\":\"0\",\"start_time\":\"0\",\"state\":\"S\",\"suid\":\"0\",\"system_time\":\"2\",\"threads\":\"1\",\"total_size\":\"\",\"uid\":\"0\",\"user_namespace\":\"4026531837\",\"user_time\":\"0\",\"uts_namespace\":\"4026531838\",\"wired_size\":\"0\"},\"action\":\"added\"}",
"decoder": {
    "name": "json"
},
"data": {
    "action": "added",
    "name": "system_info",
    "hostIdentifier": "manager",
    "calendarTime": "Mon Jul 30 13:54:45 2018 UTC",
    "unixTime": "1532958885",
    "epoch": "0",
    "counter": "461",
    "columns": {
        "cgroup_namespace": "4026531835",
        "cmdline": "",
        "cwd": "/",
        "disk_bytes_read": "0",
        "disk_bytes_written": "0",
        "egid": "0",
        "euid": "0",
        "gid": "0",
        "ipc_namespace": "4026531839",
        "mnt_namespace": "4026531840",
        "name": "migration/0",
        "net_namespace": "4026531957",
        "nice": "0",
        "on_disk": "-1",
        "parent": "2",
        "path": "",
        "pgroup": "0",
        "pid": "9",
        "pid_namespace": "4026531836",
        "resident_size": "",
        "root": "/",
        "sgid": "0",
        "start_time": "0",
        "state": "S",
        "suid": "0",
        "system_time": "2",
        "threads": "1",
        "total_size": "",
        "uid": "0",
        "user_namespace": "4026531837",
        "user_time": "0",
        "uts_namespace": "4026531838",
        "wired_size": "0"
    }
},
"predecoder": {
    "hostname": "manager"
},
"location": "osquery"
Agent key polling

polling:轮询,由CPU定时发出询问,依序询问每一个周边设备是否需要其服务,有即给予服务,服务结束后再问下一个周边,接着不断周而复始

这个模块是获取到存储在外部数据库里的用户密钥
在这里插入图片描述

【ICLR 2023】时序精选论文02|PatchTST: 片段输入与独立变量思想(代码解读附源码)
ViolenceTemper的博客
04-30 2452
本文主要结合PatchTST的源码对内部工作原理进行学习解析文章提出的主要几个创新点:1、主要是对于输入数据的改变,将已经切分好的样本(数据预处理阶段构建的训练集)再输入时切分为小片段(这个操作在后面的Crossformer中的输入也出现了,或许此类操作是着实有效的);2、独立的变量处理,主要意思是在变量的维度上进行单独的计算,不同于一般性的Transformer的编码计算(这一点的代码逻辑与Crossformer中也很类似,可以参考文章。
wazuh应用之主机安装agent及触发告警邮件
Cheney_My的博客
12-10 1588
server端: #/var/ossec/bin/manage_agent agent端: 安装Wazuh agent 添加Wazuh存储库: #rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH #cat > /etc/yum.repos.d/wazuh.repo <<\EOF [wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-W
wazuh安全管理工具
一根火柴博客
03-26 2071
Wazuh 通过监控操作系统和应用程序层面的终端设备,增强您基础设施的安全可见性。其核心功能涵盖日志分析、文件完整性监控、入侵检测以及合规性监控。
wazuh 服务端源码分析
thinker
09-30 1243
进程列表
开源安全管理平台wazuh-文件完整性监控FIM
最新发布
学而思(xiejava的blog)
10-08 1200
Wazuh开源安全平台的FIM功能验证 本文通过POC环境验证了Wazuh平台的文件完整性监控(FIM)功能。实验在Windows 11和Ubuntu主机上部署Wazuh-agent,分别监控桌面目录和/root目录的文件变更。测试内容包括文件创建、修改、删除等操作,验证结果显示Wazuh能准确捕获并告警文件系统变更事件,包括变更详情、操作用户等信息。实验证实Wazuh的FIM模块可有效监控多平台环境中的文件完整性,满足安全审计需求。
开源XDR-SIEM一体化平台 Wazuh (1)基础架构
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-22 2055
Wazuh索引器是一个高度可扩展的全文搜索和分析引擎。作为Wazuh平台的核心组件之一,它负责索引和存储由Wazuh服务器生成的警报,并提供接近实时的数据搜索和分析功能。Wazuh索引器可以配置为单节点或多节点集群,以实现可扩展性和高可用性。Wazuh索引器以JSON文档的形式存储数据。每个文档将一组键(或字段名、属性)与其对应的值相关联,这些值可以是字符串、数字、布尔值、日期、值数组、地理位置或其他类型的数据。索引是相关文档的集合。
wazuh agent功能详解
thinker
10-11 7164
wazhu之agent功能详解 一、日志数据收集 日志数据收集是从服务器或设备生成的记录中收集的实时过程。此组件可以通过文本文件或Windows事件日志接收日志。它还可以通过远程syslog直接接收日志,这对防火墙和其他此类设备非常有用。 此过程的目的是识别应用程序或系统程序错误,配置错误,入侵威胁,触发策略或安全问题。 Wazuh aegnt 的内存和CPU要求是,因为它的非常低的,主要作用是将事件转发给管理器。但是,在Wazuh管理器上,CPU和内存消耗可能会迅速增加,具体取决于管理器每秒事件数
wazuh-documentation:Wazuh-项目文档
02-03
Wazuh文档 Wazuh是一个免费的,开源的,可用于企业的安全监视解决方案,用于威胁检测,完整性监视,事件响应和合规性。 该资源库中提供了有关该项目的在线文档Wazuh团队的成员和社区用户为它的发展和日常改进做出了贡献。 在线文件 为这个项目做贡献 如果您想对本文档做出贡献,请阅读我们的文件,以了解有关如何部署开发环境和提交请求的更多信息。 您也可以通过发送电子邮件至wazuh+subscribe@googlegroups.com加入我们的,以提出问题并参与讨论。 使用的软件和库 3.5+ 3.0.4 0.9.2 1.1.13 版权和许可 版权所有:copyright:2020 Wazuh,Inc. Wazuh是免费软件; 您可以根据自由软件基金会发布的GNU通用公共许可证的条款重新分发和/或修改它; 许可的版本2,或(由您选择)任何更高的版本。
wazuh agent 认证
guoguangwu的专栏
10-31 1712
wazuh 是一款hids, c/s架构, agent 要连上manager,需要进行认证。 认证的方式有多种,下面提供一种比较简单的方式来处理: 在agent端使用agent-auth来进行认证获取agent key 查看帮助信息 /var/ossec/bin/agent-auth -h 使用方式 /var/ossec/bin/agent-auth -m manager_ip...
【收藏必备】常用分布的数学期望、方差、特征函数、分布图(持续更新ing)——更新于2025.01.12
ymzhu385的博客
10-16 2542
常用离散分布(二项分布、泊松分布、超几何分布、几何分布与负二项分布)与连续分布(正态分布、均匀分布、指数分布、伽马分布、贝塔分布、t分布、F分布、拉普拉斯分布、卡方分布、韦伯分布)的数学期望、方差、特征函数
高中英语语法——动词ing形式的用法张PPT课件.pptx
10-10
高中英语语法——动词ing形式的用法 动词-ing形式是在英语语法中非常重要的一种非谓语动词形式,它可以在句子中作主语、宾语、表语、定语、状语、宾补等多种成分。下面我们将对动词-ing形式的用法进行详细的分析和...
高中英语语法——动词ing形式的用法PPT学习教案.pptx
10-06
动词ing形式的构成是在动词后加上-ing,例如do-doing,be-being,ask-asking等。动词ing形式不具备人称和数的变化,因此不能单独作为谓语,但它可以带有宾语和状语,并且能够体现时态和语态的变化。 1. 动词ing形式...
IOS应用源码——两个计算器的源代码 inG_Calculator_1.53.zip
10-14
在本资源中,我们拥有两个iOS应用的源代码——"inG_Calculator"的版本1.53。这个压缩包对于iOS开发者来说是一个宝贵的参考资料,尤其是那些正在学习或想要深入理解计算器应用开发的人员。下面我们将详细探讨iOS应用...
wazhu之agent功能详解
渗透测试研究中心
01-28 3595
一、日志数据收集 日志数据收集是从服务器或设备生成的记录中收集的实时过程。此组件可以通过文本文件或Windows事件日志接收日志。它还可以通过远程syslog直接接收日志,这对防火墙和其他此类设备非常有用。 此过程的目的是识别应用程序或系统程序错误,配置错误,入侵威胁,触发策略或安全问题。 Wazuh aegnt 的内存和CPU要求是,因为它的非常低的,主要作用是将事件转发给管理器。但是,在Wa...
Wazuh agent的安装、注册与配置管理
watermelonbig的专栏
08-10 4578
Wazuh agent安全监控客户端的安装与管理
Wazuh详解
kuokay的博客
06-16 1629
Wazuh是一款开源安全检测与响应平台,提供终端防护、威胁检测、云安全等核心功能。它基于客户端-服务器架构,通过代理收集主机日志数据,由服务器分析后存储到索引器集群,并通过Kibana可视化展示。Wazuh支持多种操作系统,具备恶意软件检测、文件完整性监控、漏洞扫描等能力,同时满足PCI-DSS、GDPR等合规要求。其架构采用加密通信,确保数据传输安全,适用于企业级安全监控与威胁响应场景。
wazuh代理安装命令
allway2的博客
06-29 871
LINUXWAZUH_MANAGER="192.168.1.100" rpm -ivh wazuh-agent-3.13.0-1.x86_64.rpm WINDOWS:wazuh-agent-3.13.0-1.msi /q WAZUH_MANAGER="192.168.1.100" WAZUH_REGISTRATION_SERVER="192.168.1.100" AIX:WAZUH_MANAGER="192.168.1.100" rpm -ivh wazuh-agent-3.13.0-1.aix.ppc
wazuh官方安装指南(中文译版本)
weixin_30443895的博客
02-18 3263
安装Wazuh服务器 Wazuh服务器可以安装在任何类型的Unix操作系统上。最常见安装在Linux上。如果可以为您的系统提供自动化脚本,则安装过程会更容易,但是,从源码构建和安装也非常简单。 通常在Wazuh服务器上安装两个组件:管理器和API。此外,对于分布式体系结构(Wazuh服务器将数据发送到远程Elastic Stack集群),需要安装Filebeat。 安装Wazuh服务器...
wazuh
h2896713787的博客
08-24 693
Wazuh 是一个免费的开源安全平台,统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视化工具,允许用户通过他们的安全警报进行导航。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值