wazuh安装手册

最新推荐文章于 2025-07-07 16:35:51 发布
转载 最新推荐文章于 2025-07-07 16:35:51 发布 · 3.7k 阅读 · 5 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/backlion/p/10394369.html
文章标签:

#大数据 #数据库

本文档详细介绍了Wazuh的安装过程,包括wazuh manager、API、agent的安装,以及Elastic Stack、Logstash和Kibana的集成。内容涵盖了从部署架构到SSL和身份验证的设置,包括在不同操作系统上安装Wazuh agent的步骤,以及使用API注册agent的方法。整个流程旨在确保安全的日志管理和监控。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、wazhu部署架构

1.服务器上运行的Agent端会将采集到的各种信息通过加密信道传输到管理端。

2.管理端负责分析从代理接收的数据,并在事件与告警规则匹配时触发警报。

3.LogStash会将告警日志或者监控日志发送到Elasticsearch上面,最后通过Kibana可视化展示日志。

分布式部署:在不同主机上运行Wazuh服务器和Elastic Stack集群(一个或多个服务器)。
单主机架构:在同一主机上运行Wazuh服务器和Elastic Stack。
两者的主要差别在于,前者需要使用FileBeat与Logstash进行日志传输,后者直接本机读取日志文件

                                                                    图一:分布式部署
                                                                     图二:单主机架构
 

二、更新源配置

如果网速比较慢的可以更换为国内软件源,默认情况下并不用

yum repolist   #查看当前使用的源
cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak   #备份原来的源
wget http://mirrors.aliyun.com/repo/Centos-7.repo   #下载阿里云centos7源
wget http://mirrors.163.com/.help/CentOS7-Base-163.repo   #下载163 centos7源
mv 你下载的源 /etc/yum.repos.d/CentOS-Base.repo
yum clean all && yum makecache         #清理并重建yum缓存
时间服务器: 
yum -y install ntp ntpdate  #安装NTP和更新NTP
ntpdate cn.ntp.org.cn  #NTP设置
hwclock --systohc #系统时间写入硬件时间
ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime   #linux的时区设置为上海时区

 

 

三、安装 Wazuh Manager

安装环境为centos7.1X64系统

方法一:

cat > /etc/yum.repos.d/wazuh.repo <<\EOF

[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF
yum install wazuh-manager

 

方法二:

[root@wazhu-manage ~]# cd /opt

[root@wazhu-manage opt]# wget https://packages.wazuh.com/3.x/yum/wazuh-manager-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]# chmod +x wazuh-manager-3.8.0-1.x86_64.rpm 

[root@wazhu-manage opt]# rpm -ivh wazuh-manager-3.8.0-1.x86_64.rpm 

[root@wazhu-manage opt]# systemctl status wazuh-manager.service

● wazuh-manager.service - Wazuh manager

   Loaded: loaded (/etc/systemd/system/wazuh-manager.service; enabled; vendor preset: disabled)

   Active: active (running) since Mon 2019-01-21 09:58:45 UTC; 34s ago

  Process: 13789 ExecStart=/usr/bin/env ${DIRECTORY}/bin/ossec-control start (code=exited, status=0/SUCCESS)

   CGroup: /system.slice/wazuh-manager.service

           ├─13819 /var/ossec/bin/ossec-authd

           ├─13823 /var/ossec/bin/wazuh-db

           ├─13841 /var/ossec/bin/ossec-execd

           ├─13847 /var/ossec/bin/ossec-analysisd

           ├─13851 /var/ossec/bin/ossec-syscheckd

           ├─13859 /var/ossec/bin/ossec-remoted

           ├─13861 /var/ossec/bin/ossec-logcollector

           ├─13882 /var/ossec/bin/ossec-monitord

           └─13886 /var/ossec/bin/wazuh-modulesd

四、安装 Wazuh API

要运行Wazuh API,需要NodeJS> = 4.6.1,如果您没有安装NodeJS或者您的版本低于4.6.1,我们建议您添加官方NodeJS存储库,如下所示:

[root@wazhu-manage bin]# curl --silent --location https://rpm.nodesource.com/setup_8.x | bash -

[root@wazhu-manage bin]# yum install nodejs.x86_64 

[root@wazhu-manage bin]# node -v   #或者yum install nodejs

v6.14

要运行Wazuh API,需要Python> = 2.7。它默认安装或包含在大多数Linux发行版的官方存储库中。要确定系统上的python版本是否低于2.7,可以运行以下命令:

[root@wazhu-manage bin]# python --version        #Centos7默认python2

Python 2.7.5

[root@wazhu-manage bin]# cd /opt

[root@wazhu-manage opt]# wget https://packages.wazuh.com/3.x/yum/wazuh-api-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]# ls

wazuh-api-3.8.0-1.x86_64.rpm wazuh-manager-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]# chmod +x wazuh-api-3.8.0-1.x86_64.rpm 

[root@wazhu-manage opt]# rpm -ivh wazuh-api-3.8.0-1.x86_64.rpm  #或者yum install wazuh-api

 

[root@wazhu-manage opt]# systemctl start  wazuh-api

[root@wazhu-manage opt]# systemctl status wazuh-api

● wazuh-api.service - Wazuh API daemon

   Loaded: loaded (/etc/systemd/system/wazuh-api.service; enabled; vendor preset: disabled)

   Active: active (running) since Mon 2019-01-21 10:25:30 UTC; 33s ago

     Docs: https://documentation.wazuh.com/current/user-manual/api/index.html

 Main PID: 15454 (node)

   CGroup: /system.slice/wazuh-api.service

           └─15454 /bin/node /var/ossec/api/app.js

Jan 21 10:25:30 wazhu-manage systemd[1]: Started Wazuh API daemon.

 

防止自动升级:

# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo

五、安装 Wazuh agent

1.centos下安装agent:

1.1. 包安装

[root@wazhu-manage opt]# ls

wazuh-api-3.8.0-1.x86_64.rpm wazuh-manager-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]# wget https://packages.wazuh.com/3.x/yum/wazuh-agent-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]# chmod +x wazuh-agent-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]# rpm -ivh wazuh-agent-3.8.0-1.x86_64.rpm 

warning: wazuh-agent-3.8.0-1.x86_64.rpm: Header V4 RSA/SHA1 Signature, key ID 29111145: NOKEY

error: Failed dependencies:

 wazuh-manager conflicts with wazuh-agent-3.8.0-1.x86_64

 wazuh-agent conflicts with (installed) wazuh-manager-3.8.0-1.x86_64

# 修改配置文件 vim /var/ossec/etc/ossec.conf # 导入密钥 /var/ossec/bin/manage_agents # 启动服务 /var/ossec/bin/ossec-control start

 

1.2. yum安装:

 cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF
[root@wazhu-manage opt]# yum install wazuh-agent

2.ubuntu下安装agent

2.1.包安装

root@agent01:~# cd /opt

root@agent01:/opt# wget https://packages.wazuh.com/3.x/apt/pool/main/w/wazuh-agent/wazuh-agent_3.8.0-1_amd64.deb

root@agent01:/opt# dpkg -i wazuh-agent_3.8.0-1_amd64.deb 

Selecting previously unselected package wazuh-agent.

(Reading database ... 92845 files and directories currently installed.)

Preparing to unpack wazuh-agent_3.8.0-1_amd64.deb ...

Unpacking wazuh-agent (3.8.0-1) ...

Setting up wazuh-agent (3.8.0-1) ...

Processing triggers for systemd (229-4ubuntu21.4) ...

Processing triggers for ureadahead (0.100.0-19) ...

2.2. apt-get安装

# apt-get install curl apt-transport-https lsb-release #安装必要包

# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add - #安装Wazuh存储库GPG密钥

#echo"deb https://packages.wazuh.com/3.x/apt/ stable main"| tee /etc/apt/sources.list.d/wazuh.list #添加存储库

# apt-get update #更新包信息

# apt-get install wazuh-agent #安装Wazuh代理

#echo"wazuh-agent hold"| sudo dpkg --set-selections #禁用更新

3.windows下安装agent

https://packages.wazuh.com/3.x/windows/wazuh-agent-3.8.0-1.msi

agent-auth.exe -m 管理端ip -P "管理端密码

agent-auth -m 管理端ip

六、安装Elastic Stack

1.安装elastic stack运行环境包

Logstash和Elasticsearch需要Oracle Java JRE 8

[root@wazhu-manage opt]# curl -Lo jre-8-linux-x64.rpm --header "Cookie: oraclelicense=accept-securebackup-cookie" "https://download.oracle.com/otn-pub/java/jdk/8u202-b08/1961070e4c9b4e26a04e7f5a083f551e/jre-8u202-linux-x64.rpm"

[root@wazhu-manage opt]# rpm -qlp jre-8-linux-x64.rpm > /dev/null 2>&1 && echo "Java package downloaded successfully" || echo "Java package did not download successfully"

Java package downloaded successfully

[root@wazhu-manage opt]# yum -y install jre-8-linux-x64.rpm

[root@wazhu-manage opt]# java -version

java version "1.8.0_202"

安装Elastic存储库及其GPG密钥:

[root@wazhu-manage opt]# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch

[root@wazhu-manage opt]# cat > /etc/yum.repos.d/elastic.repo << EOF

> [elasticsearch-6.x]

> name=Elasticsearch repository for 6.x packages

> baseurl=https://artifacts.elastic.co/packages/6.x/yum

> gpgcheck=1

> gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch

> enabled=1

> autorefresh=1

> type=rpm-md

> EOF

[root@wazhu-manage opt]# cat /etc/yum.repos.d/elastic.repo 

[elasticsearch-6.x]

name=Elasticsearch repository for 6.x packages

baseurl=https://artifacts.elastic.co/packages/6.x/yum

gpgcheck=1

gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch

enabled=1

autorefr
最低0.47元/天 解锁文章

200万优质内容无限畅学
wazuh安装与使用
weixin_53434577的博客
08-23 1708
下载:https://wazuh.com可以直接安装Linux这个,然后导入到Linux中就可以使用了。导入完毕后开启,使用远程连接工具进行连接,出现以下画面则成功了。之后可以看一下图形化界面,使用IP地址进行登录。账号和密码均为admin登录后所示页面。到此wazuh安装完毕,就可以使用wazuh了。
wazuh部署与使用
yh
12-31 769
wazuh安装与部署
Wazuh 安全监控指南(一)
最新发布
龙哥盟
07-07 1287
你好!欢迎阅读《使用 Wazuh 进行安全监控》。在本书中,我们将探索使用 Wazuh 这一开源安全平台进行安全操作和管理的领域——该平台将安全事件与事件管理SIEM)和扩展检测与响应XDR)功能统一起来——以提升组织内部的威胁检测、事件响应、威胁狩猎和合规管理。Wazuh 将入侵检测、日志分析、文件完整性监控、漏洞检测和安全配置评估等强大功能结合成一个统一的解决方案。我将提供相关信息,并指导你通过部署 Wazuh 系统、与多个第三方安全工具的集成以及实际案例的方式,来帮助你掌握这些技能。
Wazuh 实操
weixin_30722589的博客
07-28 1028
https://www.jianshu.com/p/40c911a5628e?from=timeline&isappinstalled=0 转载于:https://www.cnblogs.com/diyunpeng/p/11261141.html
WAZUH--安装
Devour_的博客
11-02 3058
安装Wazuh服务器 Wazuh服务器可以安装在任何类型的Unix操作系统上。最常见安装在Linux上。如果可以为您的系统提供自动化脚本,则安装过程会更容易,但是,从源码构建和安装也非常简单。 通常在Wazuh服务器上安装两个组件:管理器和API。此外,对于分布式体系结构(Wazuh服务器将数据发送到远程Elastic Stack集群),需要安装Filebeat。 安装Wazuh服务器有多种选择,具体取决于操作系统以及是否希望从源代码构建。请参阅下表并选择如何安装: 类型 描述 RPM包
日志分析与HIDS系统之Wazuh安装与使用
没有网络安全就没有国家安全
03-19 1213
日志分析与HIDS系统之Wazuh安装与使用
wazuh
Devotedakura的博客
08-20 2488
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。对于日志来说,最常见的需求就是收集、存储、查询、展示,
wazuh官方安装指南(中文译版本)
weixin_30443895的博客
02-18 3038
安装Wazuh服务器 Wazuh服务器可以安装在任何类型的Unix操作系统上。最常见安装在Linux上。如果可以为您的系统提供自动化脚本,则安装过程会更容易,但是,从源码构建和安装也非常简单。 通常在Wazuh服务器上安装两个组件:管理器和API。此外,对于分布式体系结构(Wazuh服务器将数据发送到远程Elastic Stack集群),需要安装Filebeat。 安装Wazuh服务器...
Wazuh功能梳理
土肆的笔记本
07-28 3410
wazuh agent 官方文档 日志收集(Log Collector) 命令执行(Command execution) 文件完整性监控(File integrity monitoring, FIM) 安全配置评估 (Security configuration assessment,SCA)
Wazuh入侵检测系统的安装和基本使用
zhuge_long的专栏
11-07 1439
Wazuh是HIDS。
Wazuh安装与使用
weixin_43283363的博客
12-11 1090
Wazuh是OSSEC的一个开源分支,用于安全事件检测、日志管理和合规性的安全监控解决方案。它提供了实时分析、告警和完整的日志收集,帮助组织检测和应对网络攻击、恶意行为和安全事件。可以集成到现有的安全设备和日志源上,提供了安全分析的可视化界面;OSSEC是由趋势科技开源的主机入侵检测系统,简称HIDS。支持日志分析、文件完整性检测、策略监控、rootkit检测、实时告警等;支持设备有:Linux、Windows、MacOS、Solaris、HP-UX、AIX。
wazuh的基本使用
m0_66022305的博客
08-23 563
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持2、Wazuh平台的组件。
wazuhwazuh学习笔记
u013376865的博客
11-11 5648
主动响应:执行各种对策来解决威胁,下面是一些执行对策的脚本。 1. 禁用用户disable-account(disable-account.c) 将用户添加到禁用列表 /usr/bin/passwd -l 用户 将用户移除禁用列表 /usr/bin/passwd -u 用户 2. 防火墙拦截firewall-drop(default-firewall-drop.c) 将IP加入iptables拒绝列表 /usr/bin/iptables -I INPUT -s 源IP -j DROP
wazuh安装
weixin_57507186的博客
08-21 681
wazuh官网:https://wazuh.com/ wazuh是一款基于主机的IDS(HIDS),有着十分强大检测的功能,并且是一款免费的开源工具。
Wazuh从入门到上线
热门推荐
ordersyhack
02-02 1万+
Wazuh从入门到上线
wazuh初探系列二 :Wazuh功能初步探知
weixin_51525416的博客
08-22 3540
Wazuh功能初步探知
Wazuh快速部署方法
qq_44342688的博客
08-31 850
Wazuh是一个开源日志监控平台,部署方式分为快速部署和详细部署,此处介绍快速部署方法。
wazuh初探系列一 : wazuh环境配置
weixin_51525416的博客
08-22 4839
wazuh环境配置
kali内wazuh安装
03-22
<think>好的,我现在需要在Kali Linux上安装Wazuh。首先,我得回忆一下Wazuh安装步骤通常是什么样的。根据之前的知识,Wazuh通常有几种安装方式,比如通过包管理器安装各个组件,或者使用OVA虚拟机镜像。用户提供的引用里提到了使用apt-get安装wazuh-dashboard,还有OVA的下载链接,以及重启服务的命令。不过Kali Linux是基于Debian的,可能和Ubuntu的安装方法类似,但需要确认兼容性。 首先,用户的问题是在Kali上安装Wazuh。我需要检查Wazuh官方是否支持Kali。通常Kali主要用于安全测试,可能不是Wazuh官方支持的平台。但用户还是想尝试的话,可能需要手动安装各个组件,比如Wazuh服务器、Elasticsearch、Kibana等。引用1提到用apt安装dashboard,可能是指安装Kibana的Wazuh插件。但需要注意Kali的软件源是否有这些包。 另外,引用3提到重启wazuh-manager服务,这说明在Debian系中服务名称可能是wazuh-manager。所以可能的步骤是添加Wazuh的APT仓库,安装相关组件,配置Elasticsearch和Kibana,然后安装Dashboard插件。但Kali的软件源可能缺少这些包,或者版本不兼容,需要手动处理依赖关系。 还需要考虑Kali的默认设置,比如是否带有防火墙规则,SELinux等,但Kali通常比较宽松。用户可能需要先安装curl、gnupg等工具,添加GPG密钥,添加仓库,然后进行安装。但需要参考官方文档的Debian/Ubuntu指南,并调整适应Kali的环境。此外,安装后可能需要配置Elasticsearch和Kibana的配置文件,启动服务,并确保端口开放。 可能会遇到的问题包括依赖项冲突,尤其是Kali自带的工具可能和Wazuh需要的库版本不一致。此时可能需要手动解决依赖,或者使用Docker容器来安装Wazuh,避免污染主机环境。用户提到的OVA虚拟机方法可能更简单,直接导入VirtualBox或VMware,但用户可能更希望在Kali本机安装。 总结步骤可能是:添加Wazuh仓库,安装必要组件(wazuh-manager、filebeat、kibana等),配置各个服务,启动并验证。需要详细检查每一步的命令是否适用于Kali,或者是否有替代方法。此外,可能需要调整SELinux设置或防火墙规则,但Kali默认可能不需要这些。</think>在Kali Linux上安装Wazuh需要手动配置组件,因为Kali并非官方支持的系统。以下是分步安装指南: ### 1. 添加Wazuh仓库 ```bash curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --dearmor | sudo tee /usr/share/keyrings/wazuh.gpg > /dev/null echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list sudo apt update ``` ### 2. 安装Wazuh核心组件 ```bash sudo apt install wazuh-manager sudo systemctl status wazuh-manager # 验证服务状态[^3] ``` ### 3. 安装Elastic Stack #### 3.1 安装Elasticsearch ```bash wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.17.13-amd64.deb sudo dpkg -i elasticsearch-7.17.13-amd64.deb sudo systemctl enable elasticsearch sudo systemctl start elasticsearch ``` #### 3.2 安装Kibana ```bash wget https://artifacts.elastic.co/downloads/kibana/kibana-7.17.13-amd64.deb sudo dpkg -i kibana-7.17.13-amd64.deb sudo /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.7.1_7.17.13-1.zip sudo systemctl enable kibana sudo systemctl start kibana ``` ### 4. 配置Filebeat ```bash sudo apt install filebeat=7.17.13 curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.x/filebeat/filebeat.yml sudo filebeat keystore create echo admin | sudo filebeat keystore add username echo admin | sudo filebeat keystore add password sudo systemctl enable filebeat sudo systemctl start filebeat ``` ### 5. 访问仪表盘 浏览器访问 `http://localhost:5601`,通过Kibana界面完成最终配置[^1][^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值