日志分析与HIDS系统之Wazuh配置客户端

于 2025-03-20 10:18:12 发布
阅读量611 收藏 18
点赞数 15
分类专栏: 渗透测试与护网蓝队 日志分析与HIDS系统 安全防御与运营保障 文章标签: linux 服务器 日志分析 安全运营 安全防御 HIDS系统 规则编写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/146389606
版权

文章目录

Wazuh配置客户端

实验配置:

Wazuh 服务器 :192.168.230.188

Linux Wazuh 客户端 :192.168.230.147

Windows Wazuh 客户端 :192.168.230.

一、安装Agent客户端
1、在Wazuh服务器端生成Authentication Key

在Manager端运行/var/ossec/bin/manage_agents命令

根据客户端的IP地址添加Agent,并生成相应的Key备用。

image-20250212233306983

image-20250212233358143

image-20250212233412793

image-20250212233626590

需要注意的是:我们在服务器端需要打开 1514 端口,原因如下:

image-20250212233827871

这是 192.168.230.188 服务器端的配置,客户端与服务器端连接时,默认使用的是这个端口。

2、在Windows上安装Agent

(1)保持默认安装,并勾选Run Agent configuration interface

image-20211220233900600

(2)输入Manager IP地址和对应的Authentication key。并在Manager菜单中选择重启服务。

image-20250212234545157

image-20250213000449940

(3)在Manager端运行/var/ossec/bin/manage_agents -l,可以看到以下输出,表示连接成功

经过我的测试,就算不出现 any 也是可以的,只要确保 netstat -ant 的结果中由而这相关联的显示结果就好了

Available agents:    
	ID: 001, Name: winseven, IP: any

在Windows操作系统上,wazuh-agent将被安装为系统服务。

image-20211221000229146

(4)重启agent服务,并运行命令确认已经成功连接到manager

netstat -ano

image-20250213001203808

3、在Linux上安装Agent

(1)在客户端电脑上写入repo文件

rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF

(2)安装wazuh-agent

yum install wazuh-agent

(3)设置Agent为自启动

systemctl enable wazuh-agent

(4)修改配置文件指定Manager IP

在Agent客户端编辑 /var/ossec/etc/ossec.conf 文件

<server>    
    <address>192.168.112.188</address>    
    <port>1514</port>    
    <protocol>tcp</protocol>
</server>

(5)启动wazuh-agent服务

systemctl start wazuh-agent

(6)在Linux的Agent端同样运行manage_agents命令,导入Key

image-20250213002840130

(7)重启wazuh-agent服务,并运行netstat命令确认连接成功建立。

image-20250213002956402

image-20250213003023147

(8)在服务器端确认代理端是否正常上线:

image-20250213003044270

二、测试Agent与Manager
1、Windows

(1)在C:\Program Files\ossec-agent文件夹中找到安装目录,并尝试修改ossec.conf

(2)在Windows上添加一个新的账号

(3)在%PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\Startup文件夹中添加一个新的文件

(4)在ossec.conf文件中添加对Apache访问日志的监听,并构造404错误

<localfile>    
    <location>C:\Xampp\apache\logs\access.log</location>    
    <log_format>syslog</log_format>
</localfile>


<localfile>    
    <location>C:\phpStudy\PHPTutorial\Apache\logs\error.log</location>    
    <log_format>syslog</log_format>
</localfile>

image-20250213001904622

image-20250213002302527

(5)如果上述测试完全通过,则其他操作完全一致。

2、Linux

(1)添加一个新的账号,然后删除它

在 192.168.230.147 上操作如下指令

image-20250213003325079

在 192.168.230.188 服务器上查看

image-20250213003315774

(2)在/etc/目录下创建一个新的文件

(3)启动Xampp服务

(4)访问Xampp页面并产生404错误

给 192.168.230.147 agent 添加 xampp 日志文件审计

<localfile>
    <log_format>syslog</log_format>
    <location>/opt/lampp/logs/access_log</location>
</localfile>

image-20250213003809747

重启 wazuh-agent

尝试访问 192.168.230.147 并造成 404

image-20250213004010095

查看 192.168.230.188 服务器日志

image-20250213004110658

三、Agentless无代理配置

在Agentless的配置场景下,可以用于检测目标系统的文件完整性,功能相对较少。

1、使用SSH输入密码登录远程目标
/var/ossec/agentless/register_host.sh add root@example_address.com example_password [enablepass]
2、使用公钥登录远程目标
sudo -u ossec ssh-keygen

https://documentation.wazuh.com/current/user-manual/capabilities/agentless-monitoring/index.html

8、应急响应-战前溯源反制&主机蜜罐系统&HFish&HIDS&Elkeid&Wazuh
m0_65842464的博客
01-31 1929
攻击者对服务器存在着各种威胁行为,作为安全人员,可以在受到攻击前提前部署好蜜罐-Hfish系统HIDS-Wazuh系统,又或是HlDS-Elkeid系统,诱捕攻击者并进行溯源分析。通过在蜜罐系统中部署诱饵,安全人员可以了解攻击者的行为和攻击手段,为溯源反制提供依据。
wazuh部署使用
yh
12-31 517
wazuh安装部署
安装wazuh-agent
weixin_30563917的博客
09-10 1129
安装wazuh-agent 1. windows 下载地址:https://packages.wazuh.com/3.x/windows/wazuh-agent-3.9.5-1.msi 安装运行 设置服务端ip 设置服务端生成的key. 设置端生成ip root@wazuh-manager:/# /var/ossec/bin/manage_agents #1. 按A添加一个agen...
Wazuh agent的安装、注册配置管理
watermelonbig的专栏
08-10 3861
Wazuh agent安全监控客户端的安装管理
Wazuh部署之部署_wazuhelastic stack
最新发布
2401_89609648的博客
01-14 239
11.WazuhMaster的安装。10.Kibana的安装。
WAZUH的安装、设置代理
qq_68163788的博客
12-31 1951
Wazuh是一个开源的安全信息和事件管理(SIEM)平台,旨在提供全面的安全监控和威胁检测解决方案。它结合了实时分析、日志数据聚合、规则引擎和响应功能,可以帮助组织识别和应对各种安全威胁。Wazuh的主要功能包括实时日志分析、恶意软件检测、文件完整性监控、安全事件响应和合规性检查。它还提供了预定义的安全规则、报警和通知功能,可以帮助安全团队快速识别和应对潜在的安全威胁。 Wazuh的架构设计为可扩展和灵活,可以适应各种规模和复杂度的环境。它支持多种操作系统和云平台,可以轻松集成到现有的安全基础设施中。
阿里云ECS FTP搭建
pxxcsdn的博客
10-08 334
阿里云ECS(windows版)FTP服务设置教程1、 https://www.filezilla.cn/ 去下载服务端和客户端并安装好2、 阿里云添加安全组3、 FileZilla服务端配置4、 FileZilla客户端使用端口10021连接服务端 1、 https://www.filezilla.cn/ 去下载服务端和客户端并安装好 2、 阿里云添加安全组 3、 FileZilla服务端配置 4、 FileZilla客户端使用端口10021连接服务端 ...
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 5461
Wazuh的下载安装&功能测试,一篇就够了~
OSSEC HIDS:全面的日志分析入侵检测系统
SEM/SIM解决方案专注于收集、分析和报告安全事件数据,而OSSEC的集中式日志管理和复杂的分析引擎正好之匹配。ISP、大学和数据中心通常需要这样的能力来监控和分析大量日志数据,确保网络安全系统正常运行。 ...
系统行为分析:HIDS异常检测的关键策略未来趋势
本文深入探讨了基于系统行为分析的异常检测技术在网络安全领域的关键作用,特别关注于HIDS(主机入侵检测系统)中的两种核心策略:静态行为分析和动态行为分析。静态行为分析技术主要依赖于预先定义的正常行为模式,...
web日志的入侵检测,Apache日志恶意行为检测系统
07-23
日志分析 密码修改 导出报告 其他功能 退出系统 数据库设计说明logvulnerabilityinformation admin管理员表 id userName pwd vulnerabilityInformation漏洞信息表 id(漏 xss漏洞类型: 假设读者已经明白了XSS的...
Wazuh-Docker容器:安全监控日志分析解决方案
9. 安全合规性:Wazuh-Docker容器集成了多种安全功能,例如安全监测、系统日志分析、事件响应、入侵检测等,旨在帮助遵守各种安全标准和合规性要求,如PCI DSS(支付卡行业数据安全标准)、OSSEC、OPENSAPC等。...
wazuh agent 认证
guoguangwu的专栏
10-31 1605
wazuh 是一款hids, c/s架构, agent 要连上manager,需要进行认证。 认证的方式有多种,下面提供一种比较简单的方式来处理: 在agent端使用agent-auth来进行认证获取agent key 查看帮助信息 /var/ossec/bin/agent-auth -h 使用方式 /var/ossec/bin/agent-auth -m manager_ip...
Wazuh部署之部署_wazuhelastic stack,2024网络安全大厂面试真题
2401_83947353的博客
04-14 823
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Wazuh从入门到上线,GitHub重磅官宣
2401_83947353的博客
04-14 1337
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
wazuh 4.7.2部署
weixin_44151123的博客
02-29 1294
wazuh最新版本部署,包括agent邮件告警的配置
ELKB环境搭建 - CentOS7.*
weixin_44117045的博客
06-03 879
因为有安全方面的考虑,es是不能在root账户下运行的,因此要新建用户。需要具备Java环境(1.8或11版本)推荐Java11。将 kibana 的 rpm包下载过后,放入。有相关报错信息,请参考下面链接。
wazuh
Devotedakura的博客
08-20 2053
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,WazuhElastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。对于日志来说,最常见的需求就是收集、存储、查询、展示,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值