Wazuh快速部署方法
Wazuh是一个开源日志监控平台,部署方式分为快速部署和详细部署,此处介绍快速部署方法。
**官方文档地址:**https://documentation.wazuh.com/current/quickstart.html
环境:
Server:172.16.12.131
客户端:172.16.12.128、172.16.12.132
安装步骤
1.下载文件
curl -sO https://packages.wazuh.com/4.5/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
2.安装过程
通过对wazuh的安装日志进行跟踪,看看是否有报错
tail -f /var/ossec/log/ossec.log
直到出现下图结果,表示安装完成。记住用户名和密码,web登录时会用到。
默认用户名和密码:
admin
6?RPT+l94C6Ffqw.0DefJXLnQ2SqTHKt
注意:密码为随机生产,不是默认密码。
3.web登录
https://172.16.12.131,输入用户名和密码进入系统。这里我已添加了客户端,最开始客户端数量会显示0
4.添加客户端
通过agent来添加客户端
根据Deploy a new agent提示,选择客户端操作系统类型,输入IP地址、客户端名称以及分组等信息。然后将安装命令拷贝到客户端执行;
ssh登录客户端,然后将拷贝的以下命令执行:
sudo WAZUH_MANAGER='172.16.12.133' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='wazuh-clien2' yum install -y https://packages.wazuh.com/4.x/yum/wazuh-agent-4.5.1-1.x86_64.rpm
然后重启客户端服务
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
然后查看日志:
tail -f /var/log/ossec/ossec.log
如日志显示正常,无报错信息,此客户端安装完成。
5.报错处理
5.1添加key文件
客户端安装完成后,客户端服务正常,而且通过客户端可以访问服务端1514和1515两个端口,但无法通信,提示需添加key文件。
解决方法:
1)在服务端打开manage_agents脚本
./var/ossec/bin/mmanage_agents
2)添加一个客户端
按照提示,需要先添加一个客户端,输入A,按照提示,输入客户端名称,IP地址等信息,然后返回主菜单
在主菜单选择E,生成一个KEY文件,如下图红框为生产的KEY信息。拷贝此信息,到客户端使用
3)在客户端运行脚本文件
./var/ossec/bin/manage_agents
输入大写字母I,选择导入一个key,然后把服务端生成的KEY拷贝到这里,回车,完成key导入
4)重启客户端服务
重启服务,跟踪日志
systemctl restart wazuh-agent
tail -f /var/ossec/log/ossec.log
发现日志已正常,可以传输日志了。
登录wazuh管理端web界面,发现客户端已正常。
5.2拒绝连接错误
发现客户端配置文件服务器地址写错了
修改客户端配置文件
vim /var/ossec/etc/ossec.conf
服务器IP更改为172.16.12.131后重启服务,问题解决