Wazuh跨系统Agent部署实战
一、概述
1.1 核心目标
本文基于已部署的 Wazuh-Server(IP:10.0.8.2),提供 Windows Server(以 DC 服务器为例)与 Linux Server(以 APP 服务器为例)的 Wazuh-Agent 标准化部署流程,实现 Agent 与 Server 的通信对接、日志上报及状态监控,最终构建服务器安全监控闭环。
1.2 基础环境
| 类别 | 版本 / 配置要求 |
| Wazuh-Server | 4.7.5 版本(已正常运行,Web 端可访问) |
| Windows 服务器 | Windows Server 2022 |
| Linux 服务器 | CentOS 9 |
| 网络环境 | 服务器可访问 Wazuh-Server(10.0.8.2) |
| 复现平台支持 |
1.3 技术栈与依赖
- 部署工具:PowerShell(Windows)、Bash(Linux)、Wazuh-Web 控制台(10.0.8.2)
二、前置准备与环境检查
2.1 基础环境验证
| 检查项 | 验证操作 |
| Wazuh-Server 可用性 | 浏览器访问 https://10.0.8.2/app/wazuh |
| 外网访问能力(在线安装) | Windows:Invoke-WebRequest -Uri https://packages.wazuh.com -OutFile NUL Linux:curl -I https://packages.wazuh.com |
2.2 工具与资源准备
| 类别 | 具体内容 |
| 离线安装包(内网环境) | Windows:wazuh-agent-4.7.5-1.msi Linux:wazuh-agent-4.7.5-1.x86_64.rpm |
| 配置文件模板 | ossec.conf(Wazuh-Agent 默认配置文件,路径:Windows→C:\Program Files (x86)\ossec-agent;Linux→/var/ossec/etc) |
| 验证工具 | Windows:事件查看器(eventvwr.msc)、PowerShell Linux:systemctl、tail(日志查看) |
| 记录信息 | Wazuh-Server IP(10.0.8.2)、Agent 名称(如 DC 服务器→dc,APP 服务器→app) |
三、Windows 服务器(以 DC 服务器为例)Wazuh-Agent 部署
3.1 安装流程(有外网环境)
步骤 1:从 Web 端获取安装命令
- 打开浏览器,访问 Wazuh-Server Web 控制台:https://10.0.8.2/app/wazuh,登录后进入「Agents」页面;
选择系统并输入wazuh-server地址之后会获得一个命令
可以从这个命令看出来,只是简单的从外网下载wazuh-agent安装包 然后安装了一下,所以如果有安装包的话,只需要输入对应的地址和当前agent名称就可以了,系统自动生成安装命令,复制命令(含下载与安装逻辑):
| Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.5-1.msi -OutFile ${env.tmp}\wazuh-agent;msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='10.0.8.2' WAZUH_AGENT_NAME='dc'WAZUH_REGISTRATION_SERVER='10.0.8.2' |
步骤 2:执行安装命令
dc服务器中输入这个命令,由于我们接入了天枢一体化虚拟仿真靶场平台的dubhenat,目前是一个有外网的情况,所以直接下载安装即可使用powerishell直接安装并启动即可
步骤 3:启动 Wazuh-Agent 服务
在 PowerShell 中执行启动命令:
然后就可以看到dc上线了
我们可以在这个文件中配置日志上报信息等
四、 APP 服务器Wazuh-Agent 部署
4.1 在线安装流程(有外网环境)
步骤 1:从 Web 端获取安装命令
- 进入 Wazuh-Server Web 控制台「Agents」
- 复制生成的 RPM 安装命令
步骤 2:执行安装命令
- 以 root 身份登录 Linux 服务器(或执行sudo -i切换至 root);
| [root@localhost ~]# curl -o wazuh-agent-4.7.5-1.x86_64.rpm https://packages.wazuh.com/4.x/yum/wazuh-agent-4.7.5-1.x86_64.rpm && sudo WAZUH_MANAGER='10.0.8.2' WAZUH_AGENT_NAME='app' rpm -ihv wazuh-agent-4.7.5-1.x86_64.rpm % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 9253k 100 9253k 0 0 1667k 0 0:00:05 0:00:05 --:--:-- 2275k warning: wazuh-agent-4.7.5-1.x86_64.rpm: Header V3 RSA/SHA256 Signature, key ID 29111145: NOKEY Verifying... ################################# [100%] Preparing... ################################# [100%] Updating / installing... 1:wazuh-agent-4.7.5-1 ################################# [100%] |
步骤 3:配置服务自启与启动
- 重新加载 systemd 配置(识别新安装的服务):
| [root@localhost ~]# systemctl daemon-reload |
- 设置开机自启(避免服务器重启后服务中断):
| [root@localhost ~]# systemctl enable wazuh-agent |
- 启动服务并验证状态:
| # 启动服务 [root@localhost ~]# systemctl start wazuh-agent # 查看状态(需显示active (running)) [root@localhost ~]# systemctl status wazuh-agent |
可以看到有两个agent上线了
其他服务器同理就不做赘述了
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
