Wazuh agent的安装、注册与配置管理

最新推荐文章于 2023-08-23 23:30:10 发布
最新推荐文章于 2023-08-23 23:30:10 发布
阅读量2.8k 收藏 3
点赞数 2
分类专栏: 信息安全 文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/watermelonbig/article/details/126272006
版权

部署Wazuh Agent常用的环境变量

Linux系统下的常用环境变量:

  • WAZUH_MANAGER
  • WAZUH_MANAGER_PORT
  • WAZUH_PROTOCOL
  • WAZUH_REGISTRATION_SERVER
  • WAZUH_REGISTRATION_PORT
  • WAZUH_REGISTRATION_PASSWORD
  • WAZUH_KEEP_ALIVE_INTERVAL
  • WAZUH_TIME_RECONNECT
  • WAZUH_REGISTRATION_CA
  • WAZUH_REGISTRATION_CERTIFICATE
  • WAZUH_REGISTRATION_KEY
  • WAZUH_AGENT_NAME
  • WAZUH_AGENT_GROUP
  • ENROLLMENT_DELAY

变量参数的详细说明,可以参见:https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/client.html
其它操作系统环境,请参见:https://documentation.wazuh.com/current/user-manual/deployment-variables/deployment-variables.html

使用示例:

WAZUH_MANAGER="10.0.0.2" WAZUH_REGISTRATION_PASSWORD="TopSecret" \
     WAZUH_AGENT_NAME="yum-agent" yum install wazuh-agent

WAZUH_MANAGER="10.0.0.2" WAZUH_REGISTRATION_SERVER="10.0.0.2" WAZUH_REGISTRATION_PASSWORD="TopSecret" \
     WAZUH_AGENT_GROUP="my-group" yum install wazuh-agent

WAZUH_MANAGER="10.0.0.2" WAZUH_REGISTRATION_SERVER="10.0.0.2" WAZUH_AGENT_NAME="yum-agent" \
     WAZUH_REGISTRATION_CA="rootCA.pem" yum install wazuh-agent

WAZUH_MANAGER="10.0.0.2,10.0.0.3" WAZUH_REGISTRATION_SERVER="10.0.0.2" \
     WAZUH_AGENT_NAME="yum-agent" yum install wazuh-agent

WAZUH_MANAGER "10.0.0.2" WAZUH_REGISTRATION_SERVER "10.0.0.2" WAZUH_REGISTRATION_KEY "/var/ossec/etc/sslagent.key" \
     WAZUH_REGISTRATION_CERTIFICATE "/var/ossec/etc/sslagent.cert" yum install wazuh-agent

Wazuh agent 注册

Agent 注册是将Wazuh Agent注册为Wazuh安全管理服务的授权成员的过程。
Agent 注册包含以下工作:

  • Wazuh manager可以批准Agent注册并为其生成唯一密钥。
  • 使用密钥加密manager和agent之间的通信。
  • 验证与manager通信的agent的身份。

注册方法:

  • 通过agent配置进行注册:一旦指定了manager的IP地址,agent将能够自动请求密钥并将其导入。这是推荐的注册方法。
  • 通过manager API进行注册:用户需要先从manager API请求密钥,然后手动将其导入agent以完成注册过程。

依赖条件:

  • 已安装并正在运行的Wazuh manager服务。
  • 在用户需要注册的主机节点上安装并运行Wazuh agent。
  • 放行从Wazuh agent到Wazuh manager服务的出站连接。

以下端口可配置:

  • 1514/TCP for agent communication.
  • 1515/TCP for enrollment via automatic agent request.
  • 55000/TCP for enrollment via manager API.

/var/ossec/etc/ossec.conf配置文件,

配置标签:

    <client>
      <server>
        <address>MANAGER_IP</address>
      </server>
    </client>
  • 以上配置将允许agent连接到manager并自动获取一个密钥。

可选地,使用下面更加定制化的配置方法:
/var/ossec/etc/ossec.conf配置文件,配置标签:

    <client>
        <enrollment>
            <agent_name>EXAMPLE_NAME</agent_name>
            <groups>GROUP1,GROUP2,GROUP3</groups>
        </enrollment>
    </client>
  • 在完成agent注册的同时,可以指定agent name, groups属性设置。

以上配置变更,需要重启agent服务以生效:

systemctl restart wazuh-agent

通过manager API进行agent注册的方法,实际上是将上面自动注册的步骤拆解并由人工方式完成,包括了登录接口获取token、请求获取key密钥以及在agent本地导入密钥等操作步骤,详情可参见:https://documentation.wazuh.com/current/user-manual/agent-enrollment/via-manager-API/index.html 。

Wazuh agent 注册的附加安全选项

注:以下安全选项不支持API注册方式。

增加密码认证

manager服务节点的 /var/ossec/etc/ossec.conf文件,增加auth标签:

<auth>
  <use_password>yes</use_password>
</auth>

manager服务节点增加/var/ossec/etc/authd.pass文件,用于维护一个密码参数:

echo "<CUSTOM_PASSWORD>" > /var/ossec/etc/authd.pass
chmod 644 /var/ossec/etc/authd.pass
chown root:wazuh /var/ossec/etc/authd.pass

systemctl restart wazuh-manager

注:如果未维护一个authd.pass的文件,则在重启manager服务后会在 /var/ossec/logs/ossec.log中打印一个随机密码,需要注意的是该随机密码在重启manager服务时会随之变化。

在Wazuh agent侧增加密码文件 /var/ossec/etc/authd.pass:

echo "<CUSTOM_PASSWORD>" > /var/ossec/etc/authd.pass
chmod 644 /var/ossec/etc/authd.pass
chown root:wazuh /var/ossec/etc/authd.pass

增加访问manager服务时的身份验证

如果在部署Wazuh服务时已经一次性制作好了所有服务组件的证书文件,那可以跳过制作manager服务证书的步骤。
否则,请参考下面链接为manager服务生成一份证书文件:
https://documentation.wazuh.com/current/user-manual/agent-enrollment/security-options/manager-identity-verification.html

设置agent服务在注册时引用根证书 /var/ossec/etc/ossec.conf:

<client>
    <server>
       <address>MANAGER_IP</address>
    </server>
       <enrollment>
          <server_ca_path>/path/to/rootCA.pem</server_ca_path>
       </enrollment>
</client>

增加访问agent服务时的身份验证

如果在部署Wazuh服务时已经一次性制作好了所有服务组件的证书文件,那可以跳过制作agent证书的步骤。
否则,请参考下面链接为Wazuh agent生成一份证书文件:
https://documentation.wazuh.com/current/user-manual/agent-enrollment/security-options/agent-identity-verification.html

Wazuh manager节点:
需确认部署了/var/ossec/etc/rootCA.pem证书文件。
需要在/var/ossec/etc/ossec.conf中增加引用agent证书的配置参数:

  <auth>
     <ssl_agent_ca>/var/ossec/etc/rootCA.pem</ssl_agent_ca>
  </auth>

Wazuh agent节点:
将agent证书 sslagent.cert 、sslagent.key部署到agent节点上一份。
在agent节点 /var/ossec/etc/ossec.conf中增加引用证书文件的配置参数:

<client>
    <server>
       <address>MANAGER_IP</address>
    </server>
    <enrollment>
       <agent_certificate_path>CERTIFICATE_PATH</agent_certificate_path>
       <agent_key_path>KEY_PATH</agent_key_path>
    </enrollment>
</client>

在变更配置和重启服务后,如果出现服务异常或报错,那么优先通过查看日志 /var/ossec/logs/ossec.log 进行原因分析。

管理Wazuh agent

查看与删除agent

查看所有agents的命令: /var/ossec/bin/agent_control -l
查看连接状态的agents的命令:/var/ossec/bin/manage_agents -l
此外,也可以登录Wazuh web界面,在Agents标签页中查看和管理agents。

删除agents的命令:/var/ossec/bin/manage_agents,需人工交互式选择并确认
或者可以免确认式操作,删除指定ID的agent:
/var/ossec/bin/manage_agents -r 001

Wazuh agent的分组配置

有两种方式配置agent的分组功能,一个是本地配置方式,另一个是通过远程集中配置的方式,后一方式更有利于灵活、高效的对agents进行分组管理。
我们接下来,主要介绍远程集中配置agent分组的方法。
将ID为002的agent加入到名为dbms的分组中:

/var/ossec/bin/agent_groups -a -i 002 -g dbms

查看dbms组中有哪些agents:

/var/ossec/bin/agent_groups -l -g dbms

当创建了一个新的分组后,会生成以下相应的组配置文件,我们针对该组配置文件做的变更会自动同步到组内所有的agents节点上去:

/var/ossec/etc/shared/dbms/agent.conf
  • 这个组配置文件变更信息的分发同步操作并不是实时的,但会在20min内完成

将一个agent加入到多个分组的方法:

/var/ossec/bin/agent_groups -a -i 001 -g webserver
/var/ossec/bin/agent_groups -a -i 001 -g apache

查询一个agent属于哪些分组的方法:

/var/ossec/bin/agent_groups -s -i 001
  • 注意,当agent从属于多个分组时,越是排位在后面的分组,其优先级越高

重置agent的分组设置的方法:

/var/ossec/bin/agent_groups -a -f -i 001 -g apache
  • 增加了一个-f参数,会完全覆盖掉旧有的分组信息

查看指定agent分组信息的数据同步状态:

/var/ossec/bin/agent_groups -S -i 001

查看服务配置信息

登录web控制台后,可以查看接入管理的agents配置参数信息,可以查看和管理manager配置信息,以及对接受管理的agents做管理。
在这里插入图片描述

在这里插入图片描述

运维个西瓜
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WAZUH-OSSEC:WAZUH-开源安全平台安装
02-03
WAZUH-OSSEC:WAZUH-开源安全平台安装
Wazuh安装及使用
qq_39744805的博客
08-19 391
官方网址可以选择Elastic Stack安装,也可以选择下载虚拟机(OVA)安装这里展示虚拟机安装下载好文档中提供的文件虚拟机配置要求在VM左上角 文件->打开->刚刚下载的.ova文件,导入即可默认wazuh-user密码wazuh用sudo -i 提升权限将网络改为桥接模式重启网卡用远程工具连接即可进入后台访问输入默认账号密码admin/admin进入监控在/var/ossec/logs/alerts下的alerts.log记录。
wazuh agent功能详解
thinker
10-11 4989
wazhu之agent功能详解 一、日志数据收集 日志数据收集是从服务器或设备生成的记录中收集的实时过程。此组件可以通过文本文件或Windows事件日志接收日志。它还可以通过远程syslog直接接收日志,这对防火墙和其他此类设备非常有用。 此过程的目的是识别应用程序或系统程序错误,配置错误,入侵威胁,触发策略或安全问题。 Wazuh aegnt 的内存和CPU要求是,因为它的非常低的,主要作用是将事件转发给管理器。但是,在Wazuh管理器上,CPU和内存消耗可能会迅速增加,具体取决于管理器每秒事件数
Linux平台Zabbix Agent安装配置方法
09-29
主要介绍了Linux平台Zabbix Agent安装配置方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
wazuh 集群
thinker
10-14 749
基本目的wazhu集群是一组wazuh管理器,它们共同工作以增强服务的可用性和可扩展性。使用wazuh集群设置,只要我们在必要时增加worker节点,就可以大大增加agent的数量。 使用集群的原因支持水平扩展与高可用性。 水平扩展支持数千个agent同时上报,向集群中增加一个agent也很简单(只需要在配置中增加master的地址)并且可以实现自动化,使用户可以实现自动扩展 可用性单节点机器系统可能宕机、或者人为关机、硬件损坏,当机器恢复时,您不知道之前发生的事件。但是在使用集群时,可以...
文档ing Wazuh——Agent(未完待续)
DebbieLi_Ca的博客
05-19 1304
Wazuh由三部分组成:Agent端、Server端、ES 下图是官方给出的整体架构图: Agent agent端负责信息收集,预防威胁和检测、响应功能,详细介绍继续观看呦~~ 下图为官方给出的Agent端详细架构: 以下是他的部分功能~~ Log collector 这个模块可以读取日志信息和Windows事件 包含的logcollector模块收集信息后将数据收集起来送到server端进行分析 这里实现了远程接收系统日志:(自定义端口接受和存储在纯文本文件里) <ossec_config&g
wazuh安装配置及学习笔记
最新发布
weixin_54704770的博客
08-23 1053
Wazuh是一个用于威胁预防、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载;使用场景广泛包括但不局限于:入侵检测、日志数据分析、完整性检查、漏洞检测、配置评估、事故应变、合规、云安全、容器安全等;解决方案包括一个部署到被监控系统的终端安全代理和一个收集和分析代理收集的数据的管理服务器。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视化工具,允许用户通过他们的安全警报进行导航。
wazuh环境配置
middlecorn的博客
08-23 601
通过官方仓库安装,官方上面安装步骤还是比较详细的,按着一步步走就可以。可以在wazuh官网下载ova文件,然后导入到VMware中,也很方便。对于多节点集群,这些证书需要稍后部署到集群中的所有 Wazuh 实例。安装好,进到 /var/ossec 下查看,如下图。到这里wazuh基础环境就配置好了。这里我以导入ova的方式为例。访问wazuh时出现这个情况。
Wazuh部署之部署
ordersyhack
02-02 5763
Wazuh部署
Wazuh server 服务的配置管理
watermelonbig的专栏
08-10 871
/Wazuh可以按需和外部的其他事件管理、监控报警管理平台进行集成,自动地将将定级别或类别的报警消息发送到第三方的平台上去,以实现统一的事件管理。编辑/var/ossec/etc/ossec.conf文件,使用remote标签可以自定义服务监听使用的本地ip地址。...
基于多Agent的传感器管理系统研究与设计
01-19
摘 要:本文提出了一种传感器管理系统框架,给出了基于多Agent的解决方案。该结构通过多个Agent间的相互协商来实现传感器任务的分配,较好地克服了在融合中心存在的缺陷。并在此基础上着重探讨各Agent之间的协调...
Linux zabbix agent部署及配置方法详解
09-14
主要介绍了Linux zabbix agent部署及配置方法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
信息安全工作OKR愿景、战略和目标的设计示例
watermelonbig的专栏
03-05 7698
OKR是一套定义和跟踪目标及其完成情况的管理工具和方法。本文定位于一个公司的信息安全工作OKR设计,提供了一个设计尝试与示例参考。帮助大家理解怎么使用OKR来帮助设计信息安全工作的目标和管理相关的任务。 一、愿景 为公司的产品服务和技术系统的持续运行运营提供所需的信息安全保障。 二、战略 1. 通过信息安全标准认证 引入ISO27000和国家信息安全等级保护标准,规划公司信息安全...
Linux auditd主机系统安全审计服务配置技术方案
watermelonbig的专栏
04-13 7588
Auditd是什么 Auditd是Linux审计系统的用户空间组件。Auditd是Linux审计守护进程的缩写。在Linux中,daemon被称为后台运行服务,当它在后台运行时,应用程序服务的末尾附加了一个“d”。auditd的工作是作为后台服务收集审计日志文件并将其写入磁盘。 审计系统由两个主要部分组成:用户空间应用程序和实用程序,以及内核端系统调用处理。内核组件接收来自用户空间应用程序的系统调用,并通过以下过滤器之一对其进行过滤:user、task、fstype或exit。 一旦系统调用通过了excl
ISMS信息安全管理体系与信息系统安全等级保护标准的异同点
watermelonbig的专栏
12-21 6343
两个信息安全标准的相同点 都是为了保护信息安全;都采用了过程方法,前一个过程的输出作为后一个过程的输入;都采用了PDCA的模型,实现持续安全建设;都发布了基本要求,27000信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求;在控制措施或安全子类层面的安全要求上,都或多或少的存在共性。 二、两个信息安全标准的不
数据保护官DPO证书及展示
watermelonbig的专栏
04-27 6178
欧盟GDPR条例颁布至今已有5年时间,同时中国国内的个人信息保护法在本月即将完成二次审议。国内外,针对用户个人隐私数据保护的管理与治理日趋严格。 那么,你准备好了吗? 根据GDPR要求,核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定数据保护官DPO。DPO主要负责就GDPR规定提供咨询意见,向最高管理层报告。未来设立DPO职位也将会在国际化企业和政府部门内成为趋势。 在国内,个保法二审稿中已经根据形势发展要求,新近补充了要求超大型公司或机构“增设独
ISMS信息安全体系与等级保护管理的四层文件架构设计
watermelonbig的专栏
01-31 5763
ISMS信息安全体系与等级保护管理的四层文件架构设计 第一层为:政策方针第二层为:管理制度第三层为:操作规程第四层为:各种记录
Wazuh开源主机安全解决方案的简介与使用体验
watermelonbig的专栏
07-03 4947
今天我们给大家介绍的这款开源主机安全产品——Wazuh,是免费的开源软件。其组件遵守GNU通用公共许可证2版和Apache许可证2.0版(ALv2)。Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测,以及支持检查对法规遵从性的检测。...
zabbix 配置 agent自动注册
04-29
Zabbix 配置 Agent 自动注册的方法如下: 1. 在 Zabbix 服务器中启用自动注册功能。打开 Zabbix 配置文件(zabbix_server.conf),找到以下行,并将其取消注释: EnableRemoteCommands=1 UnsafeUserParameters=1 AllowRoot=1 2. 在 Zabbix Web 界面中创建一个自动注册动作。在 Zabbix Web 界面中,转到“配置”>“动作”,单击“创建动作”。在“名称”字段中输入一个名称,并在“条件”下创建一个条件,例如“主机名包含”。在“操作”选项卡中,选择“添加操作”>“远程命令”,并将以下命令添加到“命令”字段中: /usr/bin/zabbix_sender -z <Zabbix server IP> -s {HOSTNAME} -k agent.version -o "1" 其中,<Zabbix server IP>应替换为 Zabbix 服务器的 IP 地址。这将在 Zabbix 服务器注册新主机。 3. 在要监视的主机上安装 Zabbix Agent。确保 Zabbix Agent 正在运行,并使用以下命令测试连接: /usr/bin/zabbix_agentd -t agent.version 如果一切正常,则应该看到一个版本号。此时,该主机将自动注册到 Zabbix 服务器。 以上是 Zabbix 配置 Agent 自动注册的基本方法,可以根据实际情况进行适当的调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值