|
本文介绍在CentOS 8系统上安装和配置Wazuh服务器的方法,将Wazuh部署在单节点CentOS主机上,并将ELK安装在同一主机上。Wazuh服务器是使用弹性堆栈(ELK)的免费开源安全监视工具,它用于在应用程序和操作系统级别监视安全事件,因此,可以获取有关威胁检测、事件响应和完整性监视的信息。可以将Wazuh用于安全分析、日志分析、漏洞检测、集装箱安全、云安全等方面。
一、在CentOS 8上安装Wazuh 确保您的系统已更新: sudo dnf update -y 添加Wazuh GPG密钥 sudo rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH 添加Wazuh repo: sudo tee /etc/yum.repos.d/wazuh.repo <<EOF [wazuh] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=EL-Wazuh baseurl=https://packages.wazuh.com/4.x/yum/ protect=1 EOF 安装Wazuh服务器: sudo dnf -y install wazuh-manager 运行Wazuh服务器: sudo systemctl enable --now wazuh-manager 建议禁用更新,以避免遇到版本控制问题: sudo sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
二、在CentOS 8上安装Elastic Stack 我们将继续在我们的CentOS 8实例上安装ELK堆栈,Elasticsearch、Logstash和Kibana构成了用于日志分析的ELK堆栈,这些工具与Wazuh服务器协同工作,以提供安全事件分析和管理。 1、在CentOS 8上安装Java Elasticsearch是一个Java应用程序,这意味着我们需要安装JDK,参考在CentOS 8上安装Java 11(OpenJDK 11)和Java 8(OpenJDK 8)的方法: sudo dnf install java-11-openjdk-devel 确认您已安装: java -version 返回: openjdk version "11.0.5" 2、在CentOS 8上安装Elasticsearch 为Elasticsearch添加GPG密钥: sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch 添加Elasticsearch repo文件: sudo tee /etc/yum.repos.d/elasticsearch.repo << EOF [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF 安装Elasticsearch: sudo dnf install elasticsearch 启动并启用Elasticsearch: sudo systemctl enable elasticsearch.service --now 3、在CentOS 8上安装Kibana Kibana用于ELK中的仪表板: sudo dnf -y install kibana 配置KIbana,kibana的配置文件位于/etc/kibana/kibana.yml下。 配置服务器主机以指向localhost elasticsearch应用程序: $ sudo vim /etc/kibana/kibana.yml # Kibana is served by a back end server. This setting specifies the port to use. # server.port: 5601 server.port: 5601 ... # To allow connections from remote users, set this parameter to a non-loopback address. #server.host: "localhost" server.host: "localhost" # The URL for the elasticsearch instance elasticsearch.hosts: [http://localhost:9200] 启动并启用Kibana: sudo systemctl enable --now kibana 4、在CentOS 8上安装Filebeat Filebeat是一个日志传送程序,用于将日志从指定的日志目录传送到Easticsearch: sudo yum install filebeat 5、在CentOS 8上配置Filebeat 配置Flebeat以与Wazuh一起使用,备份现有的Filebeat配置文件,然后将其替换为下载的预配置文件: sudo mv /etc/filebeat/filebeat.yml{,.bak} sudo curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v4.0.3/extensions/filebeat/7.x/filebeat.yml 编辑下载的文件以匹配您的设置: $ sudo vim /etc/filebeat/filebeat.yml #output.elasticsearch.hosts: ['http://YOUR_ELASTIC_SERVER_IP:9200'] output.elasticsearch.hosts: ['http://localhost:9200'] 如果要指定filebeat应该从中获取日志的路径,还请在配置文件中添加以下行: logging.level: info logging.to_files: true logging.files: path: /var/log/filebeat name: filebeat keepfiles: 7 permissions: 0644 测试输出,如下所示: $ sudo filebeat test output elasticsearch: http://localhost:9200... parse url... OK connection... parse host... OK dns lookup... OK addresses: 192.168.1.83 dial up... OK TLS... WARN secure connection disabled talk to server... OK version: 7.9.3
三、安装Filebeat Wazuh模块 使用以下命令下载并安装Filebeat的wazuh模块: wget https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz -P /tmp/ sudo mkdir /usr/share/filebeat/module/wazuh sudo tar xzf /tmp/wazuh-filebeat-0.1.tar.gz -C /usr/share/filebeat/module/wazuh/ --strip-components=1 下载Wazuh Elasticsearch警报索引模板并进行设置: $ sudo curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.0.3/extensions/elasticsearch/7.x/wazuh-template.json $ sudo filebeat setup --path.config /etc/filebeat --path.home /usr/share/filebeat --path.data /var/lib/filebeat --index-management -E setup.template.json.enabled=false 重新启动Filebeat: sudo systemctl restart filebeat
四、为Wazuh安装Kibana插件 将所有权设置为目录/usr/share/kibana/optimize/和/usr/share/kibana/plugins给kibana用户: sudo chown -R kibana: /usr/share/kibana/{optimize,plugins} 为wazuh安装Kibana插件: $ cd /usr/share/kibana $ sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.0.3_7.9.3-1.zip 完成后,检查已安装的插件: $ sudo -u kibana /usr/share/kibana/bin/kibana-plugin list wazuh@4.0.3 重新启动所需的服务以使更改生效: sudo systemctl restart kibana sudo systemctl restart elasticsearch sudo systemctl restart wazuh-manager
五、配置防火墙 配置防火墙以允许从远程主机访问Kibana,如果在不同主机上安装了Kibana和Elasticsearch,则可能还需要允许Elasticsearch: sudo firewall-cmd --zone=public --add-port=5601/tcp --permanent sudo firewall-cmd --reload 您现在可以使用http://server-IP:5601访问您的kibana界面:
然后,您可以导航到左侧菜单,然后在列表上选择Wazuh:
至此,您就可以通过在客户端系统上配置代理来使用Wazuh服务器监视系统了。
相关主题 |
