wazhu架构搭建 小结

最新推荐文章于 2025-03-26 09:28:42 发布
最新推荐文章于 2025-03-26 09:28:42 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: 软件安装
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32157851/article/details/89552616
版权

基本的搭建步骤都在这个博客下:

https://www.cnblogs.com/backlion/p/10394369.html

 

下面写一些我再安装过程中遇到的问题

1、首先安装wazuh中的各个版本都需要一致,例如我安装的是 

wazuh-manager-3.8.2-1.x86_64.rpm 那么与wazuh 相关的都应该是 3.8.2版本

wazuh-agent-3.8.2-1.x86_64.rpm  、wazuh-api-3.8.2-1.x86_64.rpm

wazuhapp-3.8.2_6.7.1.zip   // 这里的下划线后面哪个要和自己安装的elastic版本对应上,前面的哪个需要和wazuh对应上。

安装这几个可以按照上面链接里面的进行安装,配置好yum,直接安装,

 

2、安装elk的时候,最好去elasticsearch 官网下载 elasticsearc.tar.gz  ,以及 logstash.tar.gz 、kibana.tar.gz然后再/opt目录或者其他目录下安装。

下载地址:https://www.elastic.co/cn/downloads/past-releases  ,下载自己需要的各种版本和插件。

在安装es相关软件的时候,需要保证自己的nodejs版本6.5以上,以及python 版本 >=2.7.jdk 版本使用 1.8以上版本(这里这些如那件最好使用各个大版本下小版本里最新的,例如,6.7.1就是6版本下的最新的,jdk1.8.201 居士1.8 下最新的)

这里安装完elasticsearch的时候,最好使用自己独有的用户进行启动,

#使用root用户进行下面的操作
groupadd esgroup
useradd es
#然后将elasticsearch 解压出来的都授权为 esgroup 和es
chown -R es:esgroup   ..../elasticsearch/

这里修改为es用户的时候启动会报错需要修改下面的配置

然后启动(注意非root用户)

报错,如下:

ERROR: [4] bootstrap checks failed
[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]
[2]: max number of threads [1024] for user [elk] is too low, increase to at least [4096]
[3]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

解决,[1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]

#切换到root用户修改
vim /etc/security/limits.conf

# 在最后面追加下面内容
es   hard nofile 65536
es   soft nofile 65536

解决第二个[2]: max number of threads [1024] for user [elk] is too low, increase to at least [4096]  ,改为4096

#切换到root用户修改
进入limits.d下的配置文件:vi /etc/security/limits.d/90-nproc.conf ,修改配置如下:


*          soft    nproc     4096
root       soft    nproc     unlimited

解决第三个[3]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

#切换到root用户修改
修改sysctl文件:vi /etc/sysctl.conf ,增加下面配置项


    增加改行配置:vm.max_map_count=655360  
    保存退出后,执行:  
    sysctl -p

然后是对elasticsearch配置文件进行修改。

vim config/elasticsearch.yml
#这里修改为自己的ip地址

network.host: 192.168.0.105

 

 

然后切换到es 用户,启动elasticsearch ,最后访问,下面这样就算成功了

如果启动的时候磁盘空间过小报错(此时日志中提示为只读模式,就是这个错误),那么需要再elasticsearch.yml中添加下面的几句

cluster.routing.allocation.disk.threshold_enabled: true
cluster.routing.allocation.disk.watermark.low: 93%
cluster.routing.allocation.disk.watermark.high: 95%

和执行这句话:

  PUT _settings
    {
    "index": {
    "blocks": {
    "read_only_allow_delete": "false"
    }
    }
    }

3、安装kibana 很简单,直接解压tar.gz然后修改配置文件就好

vim config/kibana.yml
#下面这两处进行修改
server.host: "192.168.0.105"
elasticsearch.url: "http://192.168.0.105:9200"
为Kibana安装Wazuh应用程序插件:(Kibana插件安装过程可能需要几分钟。请耐心等待)
[root@wazhu-manage opt]# sudo -u kibana NODE_OPTIONS="--max-old-space-size=3072" /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.8.0_6.5.4.zip
Attempting to transfer from https://packages.wazuh.com/wazuhapp/wazuhapp-3.8.0_6.5.4.zip
Transferring 17809056 bytes....................
Transfer complete
Retrieving metadata from plugin archive
Extracting plugin archive
Extraction complete
Optimizing and caching browser bundles...
Plugin installation complete

 

4、 安装logstash的时候出现问题,按照前面链接里的安装速度过慢,所以我只能去下载好对应版本的rpm 包,然后执行rpm -ivh   logstash.rpm安装,然后需要执行下面两句命令

本地配置(仅在单主机架构中):

[root@wazhu-manage opt]# curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/logstash/01-wazuh-local.conf

由于Logstash用户需要读取alerts.json文件,请运行以下命令将其添加到OSSEC组

[root@wazhu-manage opt]# usermod -a -G ossec logstash

 远程配置(仅在分布式架构中):

curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/logstash/01-wazuh-remote.con

5、然后 直接使用 systemctl start logstash.service 启动(下载地址在2中说了)

5.1在启动之前需要修改配置文件(不然数据同步不到es中)

vim /etc/logstash/conf.d/01-wazuh.conf
#里面的localhost改为对应的ip

output {
    elasticsearch {
        hosts => ["192.168.0.105:9200"]
        index => "wazuh-alerts-3.x-%{+YYYY.MM.dd}"
        document_type => "wazuh"
    }
}

5.2查看logstash的日志,

tail -f /var/log/logstash/logstash-plain.log

6、通过api链接 wazuh app 的时候需要关闭防火墙或者开放端口

7、添加api之前的准备工作

在填用户名、密码、url、端口之前,要先到Wazuh server主机上,使用命令生成非默认的认证来保护Wazuh API。

cd /var/ossec/api/configuration/auth/

node htpasswd -c user wazuh-api

service wazuh-api restart

 

8、最后就是注册agent

在另一台主机上安装wazuh-agents 也可以通过yum install wazuh-agent 安装

然后再manage 端添加代理,然后获取到key 去到agent端注册进去。

这里还需要修改一下agent端的  ossec.conf文件

vim /var/ossec/etc/ossec.conf

最后就可以在这里看到自己添加的agent了

 

注:如果启动以后openscap没有数据

1、需要在agent主机上安装扫描器(scanner)

yum install openscap-scanner   

2、在agent和manage端的本地配置文件ossec.conf (/var/ossec/etc/ossec.conf), 更改如下内容(默认安装完成后文件中已添加完成):

<wodle name="open-scap">
  <disabled>no</disabled>
  <timeout>1800</timeout>
  <interval>1d</interval>
  <scan-on-start>yes</scan-on-start>

  <content type="xccdf" path="ssg-centos-7-ds.xml">
    <profile>xccdf_org.ssgproject.content_profile_pci-dss</profile>
    <profile>xccdf_org.ssgproject.content_profile_common</profile>
  </content>
</wodle>

3、首先重启manage端

要应用新的配置,请重新启动管理器:
#systemctl restart wazuh-manager

现在,重新启动所有代理:
#/var/ossec/bin/agent_control -R -a

4、在agent端

systemctl  restart wazuh-agent

5、当Vulnerabilities这个菜单下没有数据的时候,需要修改manage端的配置文件(wazuh配置Vulnerabilities-漏洞扫描)

1.
agent: 编辑/var/ossec/etc/ossec.conf
<ossec_config>
<wodle name="syscollector">
     <disabled>no</disabled>
     <interval>1h</interval>
     <scan_on_start>yes</scan_on_start>
     <hardware>yes</hardware>
     <os>yes</os>
     <network>yes</network>
     <packages>yes</packages>
     <ports all="no">yes</ports>
     <processes>yes</processes>
   </wodle>
</ossec_config>
2.重启agent
systemctl restart wazuh-agent

 

3.manager:编辑 /var/ossec/etc/ossec.conf
<ossec_config>
   <wodle name="vulnerability-detector">
  <disabled>no</disabled>
  <interval>1m</interval>
  <ignore_time>6h</ignore_time>
  <run_on_start>yes</run_on_start>
  <feed name="ubuntu-18">
    <disabled>no</disabled>
    <update_interval>1h</update_interval>
  </feed>
  <feed name="redhat">
    <disabled>no</disabled>
    <update_interval>3m</update_interval>
    <update_from_year>2015</update_from_year>
  </feed>
  <feed name="debian-9">
    <disabled>no</disabled>
    <update_interval>1h</update_interval>
  </feed>
</wodle>
</ossec_config>

4.重启manager
systemctl restart manager

5.1 然后等几分钟,查看日志   vim   /var/ossec/logs/ossec.log,如果有下面几句说明成功

 

6、还有不懂得查看这个链接

https://my.oschina.net/u/4082432/blog/3031336

 

 

wazuh安装手册
weixin_30569033的博客
02-18 3753
一、wazhu部署架构 1.服务器上运行的Agent端会将采集到的各种信息通过加密信道传输到管理端。 2.管理端负责分析从代理接收的数据,并在事件与告警规则匹配时触发警报。 3.LogStash会将告警日志或者监控日志发送到Elasticsearch上面,最后通过Kibana可视化展示日志。 分布式部署:在不同主机上运行Wazuh服务器和Elastic Stack集群(一个或多个服务器)。...
wazhu配置以及漏洞复现
txtxla的博客
08-23 720
当我们使用本地的cmd通过ssh一直连接wazuh的时候便会出现十级报错,此次在后台可以明显的看到有提示扫描,通过分析其具体的数据包以及对应的规则理解到wuzuh在外来访问的时候,会触发到解码器,其作用是用来抓取关键信息,其中核心便是正则表达式进行正则匹配,当数据来了之后,wazuh程序会分析我们的日志,把这些日志信息发到相对应的解码器去,通过解码器去进行解码,解码完后,再发送到相应的规则,然后把解码完的数据通过规则,再次进行匹配,最终展示到仪表盘的Modules里的Security events里。
wazuh介绍
q1415500189的博客
08-18 1815
wazuh搭建
wazuh安全管理工具
最新发布
一根火柴博客
03-26 1181
Wazuh 通过监控操作系统和应用程序层面的终端设备,增强您基础设施的安全可见性。其核心功能涵盖日志分析、文件完整性监控、入侵检测以及合规性监控。
wazuh 集群
thinker
10-14 907
基本目的wazhu集群是一组wazuh管理器,它们共同工作以增强服务的可用性和可扩展性。使用wazuh集群设置,只要我们在必要时增加worker节点,就可以大大增加agent的数量。 使用集群的原因支持水平扩展与高可用性。 水平扩展支持数千个agent同时上报,向集群中增加一个agent也很简单(只需要在配置中增加master的地址)并且可以实现自动化,使用户可以实现自动扩展 可用性单节点机器系统可能宕机、或者人为关机、硬件损坏,当机器恢复时,您不知道之前发生的事件。但是在使用集群时,可以...
wazuh初探系列一 : wazuh环境配置
weixin_51525416的博客
08-22 4643
wazuh环境配置
wazuh all in one 一步步部署
x10n9的博客
08-30 1424
默认情况下会安装Elasticsearch性能分析器插件,可能会对系统资源产生负面影响。我们建议使用以下命令删除它:/usr/share/elasticsearch/bin/elasticsearch-plugin remove opendistro-performance-analyzer。用户配置文件在:/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml。..............
ELK+Wazuh搭建笔记
chensheng9055的博客
04-02 2250
本文借鉴https://www.cnblogs.com/backlion/p/10394369.html,在此谢谢大佬指明方向!! 本人又总结了wazuh界面上opencat,Vulnerabilities的后台配置情况,以及agent版本升级情况, 系统为:Centos7 建议搭...
日志查询系统
03-13
在IT行业中,日志查询系统是一个至关重要的工具,它用于收集、存储和分析应用程序或系统的运行日志。这些日志包含了大量的系统行为信息,对于故障排查、性能优化以及安全监控等任务具有极大的价值。...
网站漏洞测试 关于webshell木马后门检测
网站安全资讯
11-07 908
前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,I...
wazuh 4.7.2部署
weixin_44151123的博客
02-29 1372
wazuh最新版本部署,包括agent与邮件告警的配置
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 5968
Wazuh的下载安装&功能测试,一篇就够了~
Wazuh从入门到上线
热门推荐
ordersyhack
02-02 1万+
Wazuh从入门到上线
wazuh的基本使用
m0_66022305的博客
08-23 513
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持2、Wazuh平台的组件。
Wazuh 实操
weixin_30722589的博客
07-28 1010
https://www.jianshu.com/p/40c911a5628e?from=timeline&isappinstalled=0 转载于:https://www.cnblogs.com/diyunpeng/p/11261141.html
wazuh安装与使用
weixin_53434577的博客
08-23 1558
下载:https://wazuh.com可以直接安装Linux这个,然后导入到Linux中就可以使用了。导入完毕后开启,使用远程连接工具进行连接,出现以下画面则成功了。之后可以看一下图形化界面,使用IP地址进行登录。账号和密码均为admin登录后所示页面。到此wazuh安装完毕,就可以使用wazuh了。
Wazuh安装与使用
weixin_43283363的博客
12-11 857
Wazuh是OSSEC的一个开源分支,用于安全事件检测、日志管理和合规性的安全监控解决方案。它提供了实时分析、告警和完整的日志收集,帮助组织检测和应对网络攻击、恶意行为和安全事件。可以集成到现有的安全设备和日志源上,提供了安全分析的可视化界面;OSSEC是由趋势科技开源的主机入侵检测系统,简称HIDS。支持日志分析、文件完整性检测、策略监控、rootkit检测、实时告警等;支持设备有:Linux、Windows、MacOS、Solaris、HP-UX、AIX。
【wazuh】wazuh学习笔记
u013376865的博客
11-11 5612
主动响应:执行各种对策来解决威胁,下面是一些执行对策的脚本。 1. 禁用用户disable-account(disable-account.c) 将用户添加到禁用列表 /usr/bin/passwd -l 用户 将用户移除禁用列表 /usr/bin/passwd -u 用户 2. 防火墙拦截firewall-drop(default-firewall-drop.c) 将IP加入iptables拒绝列表 /usr/bin/iptables -I INPUT -s 源IP -j DROP
"timestamp": "2023-08-08T08:54:10.900+00:00", "status": 400, "error": "Bad Request", "path": "/albums/add-new"
08-09
- *1* *2* *3* [wazhu之agent功能详解](https://blog.csdn.net/m0_64910183/article/details/127960884)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值