wazauh离线部署

最新推荐文章于 2024-05-31 08:25:44 发布
最新推荐文章于 2024-05-31 08:25:44 发布
阅读量593 收藏 3
点赞数 1
文章标签: 分布式 linux elasticsearch nginx java
原文链接:https://blog.51cto.com/13950323/2503368
版权

官网 https://wazuh.com/

  • 如果服务器可以联网,直接参照官网文档部署即可。

  • 为方便安装,选择手动下载rpm包进行安装
wazuh相关下载地址:https://documentation.wazuh.com/3.12/installation-guide/packages-list/index.html#linux
ES下载相关地址:https://www.elastic.co/cn/downloads/
  • 内网无法使用网络源,因此选择先将rpm包在可以联网的机器下载下来,再上传到内网服务器安装,可以使用yumdownloader命令。
yum install yum-utils
语法:yumdownloader  rpmname  --resolve --destdir=/path  ##resolve   下载依赖包

一、安装Wazuh

  1. 安装Wazuh-manager

    rpm -ivh wazuh-manager-3.12.3-1.x86_64.rpm 
systemctl status wazuh-manager #安装完成会自动启动

  2. 安装Wazuh-API

    #安装Wazuh-API需要nodejs> = 4.6.1,因此首先安装nodejs
rpm -ivh nodejs-10.21.0-1nodesource.x86_64.rpm 
rpm -ivh wazuh-api-3.12.3-1.x86_64.rpm 
systemctl status wazuh-api.service #安装完成会自动启动

  3. 安装filebeat

    #Filebeat是Wazuh服务器上的工具,可将警报和存档事件安全地转发到Elasticsearch。
rpm -ivh filebeat-7.7.1-x86_64.rpm 

#由于内网环境不方便下载官方提供的配置文件,因此选择一台可以连网的机器手动下载后将文件上传至内网服务器对应的目录中并授权。
#下载Filebeat配置文件,用于将Wazuh警报转发到Elasticsearch。
curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.12.3/extensions/filebeat/7.x/filebeat.yml  #官方下载命令

cp  filebeat.yml  /etc/filebeat/ #拷贝下载的配置文件至filebeat
chmod go+r /etc/filebeat/filebeat.yml #授权

#下载Elasticsearch的警报模板
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.12.3/extensions/elasticsearch/7.x/wazuh-template.json  #官方下载命令

cp wazuh-template.json /etc/filebeat/  ##拷贝下载的警报模板至filebeat
chmod go+r /etc/filebeat/wazuh-template.json  #授权

#下载适用于Filebeat的Wazuh模块
curl -s https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module

tar  -xvf wazuh-filebeat-0.1.tar.gz  -C /usr/share/filebeat/module/

#修改配置文件
vim /etc/filebeat/filebeat.yml
output.elasticsearch.hosts: ['http://YOUR_ELASTIC_SERVER_IP:9200']  #写入es的地址

#启动
systemctl daemon-reload
systemctl enable filebeat.service
systemctl start filebeat.service

二、安装Elasticsearch

  1. 安装jdk

    rpm -ivh jdk-8u181-linux-x64.rpm 
#可以选择分布式,也可以选择单点,因为是实验环境,所以将Elasticsearch与Wazuh服务器装在同一台服务器。

  2. 安装es

    rpm -ivh elasticsearch-7.7.1-x86_64.rpm
#修改es配置文件
vim  /etc/elasticsearch/elasticsearch.yml
network.host: 127.0.0.1   #由于单机部署,因此写127.0.0.1
node.name: node-1   #使用默认
cluster.initial_master_nodes: ["node-1"]  

#启动
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl start elasticsearch.service

#加载Filebeat模板,在安装filebeat的位置运行此命令
filebeat setup --index-management -E setup.template.json.enabled=false

#简单检查
curl http://127.0.0.1:9200

三、安装Kibana

  1. 安装

    rpm -ivh kibana-7.7.1-x86_64.rpm

  2. 安装wazuh插件

    cd /usr/share/kibana/
cp /root/wazuhapp-3.12.3_7.7.1.zip  /usr/share/kibana/  #也可以放到/tpm
sudo -u kibana bin/kibana-plugin install  file:///usr/share/kibana/wazuhapp-3.12.3_7.7.1.zip

  3. 修改配置文件

    vim /etc/kibana/kibana.yml
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://127.0.0.1:9200"]

#对于Kibana 7.6.X以上的版本,增加kibana的堆大小确保插件正常安装
cat >> /etc/default/kibana << EOF
NODE_OPTIONS="--max_old_space_size=2048"
EOF

#登录
http://192.168.113.107:5601/

四、安装agent

  • 自动注册

    #自动注册,将agent的包上传到服务器,然后使用此命令安装即可。
WAZUH_MANAGER='192.168.113.107'  yum install wazuh-agent-3.12.3-1.x86_64.rpm
qq_38473097
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wazuh-elastic7-template-alerts.json
06-29
wazuh-elastic7-template-alerts.jsonwazuh的ES模块导入
Wazuh从入门到上线,GitHub重磅官宣
2401_83947353的博客
04-14 928
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
Wazuh部署部署
ordersyhack
02-02 5799
Wazuh部署
初识wazuh
小白
08-20 223
Wazuh是一个开源的、用于安全事件检测、日志管理和合规性的安全监控解决方案。它提供了实时分析、告警和完整的日志收集,帮助组织检测和应对网络攻击、恶意行为和安全事件。Wazuh可以集成到现有的安全设备和日志源,提供强大的安全分析和可视化工具,有助于组织加强网络安全防御和合规性管理。
主机入侵检测系统wazuh3.13单机部署
Cheney_My的博客
12-10 1016
Wazuh涉及两个主要组件的安装:Wazuh服务器和Elastic Stack。此外,Wazuh agent需要部署到受监视的主机上: Wazuh server:运行Wazuh管理器和API。它从已部署的代理收集和分析数据。 Elastic Stack:运行Elasticsearch引擎,Filebeat和Kibana(包括Wazuh应用程序)。它读取,解析,索引和存储由Wazuh管理器生成的警报数据。 Wazuh agent:在受监视的主机上运行,收集系统日志和配置数据,并检测入侵和异常。它与Wazuh
开源EDR(Wazuh) 安装与部署
sun007700的专栏
04-30 1749
开源EDR(Wazuh) 安装与部署 - 知乎 火眼 edr
wazuh all in one 一步步部署
x10n9的博客
08-30 1031
默认情况下会安装Elasticsearch性能分析器插件,可能会对系统资源产生负面影响。我们建议使用以下命令删除它:/usr/share/elasticsearch/bin/elasticsearch-plugin remove opendistro-performance-analyzer。用户配置文件在:/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml。..............
Wazuh开源主机安全解决方案的简介与使用体验
watermelonbig的专栏
07-03 5039
今天我们给大家介绍的这款开源主机安全产品——Wazuh,是免费的开源软件。其组件遵守GNU通用公共许可证2版和Apache许可证2.0版(ALv2)。Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测,以及支持检查对法规遵从性的检测。...
wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
guoguangwu的专栏
11-30 474
wazuh-template.json
文章解读与仿真程序复现思路——电力系统自动化EI\CSCD\北大核心《基于优先指数的配电网分布式储能序次规划》
LIANG674027206的博客
05-29 660
提出一种基于优先指数的分布式储能序次规划方法,以指导储能的优化配置和有序接入,解决电网规划过程中实际网架结构不明确和DESS功能复合性强但规划场景单一的问题。电网论文源程序擅长文章解读,论文与完整源程序,等方面的知识,电网论文源程序关注python,机器学习,计算机视觉,深度学习,神经网络,数据挖掘领域.电网论文源程序擅长文章解读,论文与完整源程序,等方面的知识,电网论文源程序关注python,机器学习,计算机视觉,深度学习,神经网络,数据挖掘领域.论文与完整源程序_电网论文源程序的博客-CSDN博客。
LAMP集群分布式实验报告
2301_79868845的博客
05-29 1343
LAMP架构(Linux、Apache、MySQL、PHP)自1998年提出以来,经过长时间的发展和完善,已经成为非常成熟和稳定的Web开发平台。4.市场需求:随着互联网的普及和Web应用的不断增多,对于高性能、高可靠性和可扩展性的Web平台的需求也在不断增加。通过深入研究和实验,可以推动分布式系统技术的发展和应用,为Web应用提供更加强大和稳定的支持。//如果不是config.inc.php,而是config.sample.inc.php,就将文件改成config.inc.php。
聊聊几种常见的分布式Session解决方案
weixin_45254062的博客
05-26 256
highlight: xcode theme: vuepress 问题引入:什么是分布式Session? 分布式 Session 是指在多台服务器之间共享和管理用户的会话数据,使得用户的会话状态能够在不同的服务器上保持一致。这样,无论用户的请求被路由到哪台服务器,都能够访问到相同的会话信息,从而保证用户体验的一致性。 回顾一下单机服务的 HttpSession 的存储: 在传统的 J...
Linux - 磁盘的分区和挂载
weixin_45735487的博客
05-27 752
逻辑分区只能在拓展分区上划分,编号5-15。拓展分区编号1-4,拓展分区不能格式化。rescue 恢复分区,对于误删的分区进行恢复,语法: rescue 起始 结束。rm 删除分区,后接要删除的分区编号。(L) 在主分区和拓展分区划分完之后,默认提示划分逻辑分区。n 进行磁盘分区,这里会默认MBR标签。(p) msdos下,会默认选择先划分主分区。
Linux】升级GCC(版本9.3),补充:binutils
yannan20190313的博客
05-27 804
Linux】升级GCC(版本9.3),补充:binutils
Linux】中常见的重要指令(下)以及重要的几个热键
2401_84568462的博客
05-27 1192
find指令查找的文件不能当前路径下(可以这样理解:如果要查找当前路径下可以使用ls指令,就不麻烦find指令了),必须查找当前路径下的目录里的文件。1.能被打包压缩的一定是由多个文件组成的,打包压缩后将文件变为一个整体,在传递给其他用户时不容易缺失。.tar打包后缀 .gz压缩后缀 XXX.tar.gz ----->XXX.tgz。功能:在系统特定的路径下查找,及可以找到可执行程序,有可以找到手册,安装包和压缩包等。命令在目录结构中搜索文件,并执行指定的操作。功能:在指令路径下搜索指令文件。
IMX6Q基于linux4.1.15调试音频芯片tas2505
qq_45147279的博客
05-29 158
获取时钟频率,因为我这边用的是外部晶振,不是使用CPU引脚MX6QDL_PAD_GPIO_0__CCM_CLKO1输出时钟的。如果上面of_match_table 的字符串跟设备树匹配上的话,接下来进入imx_tas2505_probe函数,这里我想说说设置ssi和audmux的方向问题,要么是由CPU输出BCLK,WCLK给音频芯片;tas2505_dai中的name变量名需要跟imx-tas2505.c中struct snd_soc_dai_link中的codec_dai_name变量名一样。
Linux】进程(1)
最新发布
qq_75000174的博客
05-31 854
父进程的代码和数据是从磁盘加载过来的,子进程的代码默认继承父进程的代码,数据我们后面会学:如果子进程没有写入,那父子进程的数据也是共享的,如果父子进程中有一个要对数据进行写入,那么会发生写时拷贝,数据就不共享了。所以,如果没有存储器(内存),那么一台电脑的成本就高,而高成本的东西是不利于广泛传播和使用的,所以内存的存在还是非常有必要的。第一行是我们所找的myprocess进程,第二行是我们使用grep命令所运行的进程,记得吗,我们前面讲的,在Linux中运行的大部分执行操作,本质都是运行进程。
Linux 虚拟机 同一局域网下,宿主机及其他物理机 互联,通过桥接模式实现
m0_63628018的博客
05-31 143
实现方式:虚拟机-网络连接-桥接模式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值