官网 https://wazuh.com/
-
如果服务器可以联网,直接参照官网文档部署即可。
- 为方便安装,选择手动下载rpm包进行安装
wazuh相关下载地址:https://documentation.wazuh.com/3.12/installation-guide/packages-list/index.html#linux
ES下载相关地址:https://www.elastic.co/cn/downloads/
- 内网无法使用网络源,因此选择先将rpm包在可以联网的机器下载下来,再上传到内网服务器安装,可以使用yumdownloader命令。
yum install yum-utils
语法:yumdownloader rpmname --resolve --destdir=/path ##resolve 下载依赖包
一、安装Wazuh
-
安装Wazuh-manager
rpm -ivh wazuh-manager-3.12.3-1.x86_64.rpm
systemctl status wazuh-manager #安装完成会自动启动
-
安装Wazuh-API
#安装Wazuh-API需要nodejs> = 4.6.1,因此首先安装nodejs
rpm -ivh nodejs-10.21.0-1nodesource.x86_64.rpm
rpm -ivh wazuh-api-3.12.3-1.x86_64.rpm
systemctl status wazuh-api.service #安装完成会自动启动
-
安装filebeat
#Filebeat是Wazuh服务器上的工具,可将警报和存档事件安全地转发到Elasticsearch。
rpm -ivh filebeat-7.7.1-x86_64.rpm
#由于内网环境不方便下载官方提供的配置文件,因此选择一台可以连网的机器手动下载后将文件上传至内网服务器对应的目录中并授权。
#下载Filebeat配置文件,用于将Wazuh警报转发到Elasticsearch。
curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.12.3/extensions/filebeat/7.x/filebeat.yml #官方下载命令
cp filebeat.yml /etc/filebeat/ #拷贝下载的配置文件至filebeat
chmod go+r /etc/filebeat/filebeat.yml #授权
#下载Elasticsearch的警报模板
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.12.3/extensions/elasticsearch/7.x/wazuh-template.json #官方下载命令
cp wazuh-template.json /etc/filebeat/ ##拷贝下载的警报模板至filebeat
chmod go+r /etc/filebeat/wazuh-template.json #授权
#下载适用于Filebeat的Wazuh模块
curl -s https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module
tar -xvf wazuh-filebeat-0.1.tar.gz -C /usr/share/filebeat/module/
#修改配置文件
vim /etc/filebeat/filebeat.yml
output.elasticsearch.hosts: ['http://YOUR_ELASTIC_SERVER_IP:9200'] #写入es的地址
#启动
systemctl daemon-reload
systemctl enable filebeat.service
systemctl start filebeat.service
二、安装Elasticsearch
-
安装jdk
rpm -ivh jdk-8u181-linux-x64.rpm
#可以选择分布式,也可以选择单点,因为是实验环境,所以将Elasticsearch与Wazuh服务器装在同一台服务器。
-
安装es
rpm -ivh elasticsearch-7.7.1-x86_64.rpm
#修改es配置文件
vim /etc/elasticsearch/elasticsearch.yml
network.host: 127.0.0.1 #由于单机部署,因此写127.0.0.1
node.name: node-1 #使用默认
cluster.initial_master_nodes: ["node-1"]
#启动
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
#加载Filebeat模板,在安装filebeat的位置运行此命令
filebeat setup --index-management -E setup.template.json.enabled=false
#简单检查
curl http://127.0.0.1:9200
三、安装Kibana
-
安装
rpm -ivh kibana-7.7.1-x86_64.rpm
-
安装wazuh插件
cd /usr/share/kibana/
cp /root/wazuhapp-3.12.3_7.7.1.zip /usr/share/kibana/ #也可以放到/tpm
sudo -u kibana bin/kibana-plugin install file:///usr/share/kibana/wazuhapp-3.12.3_7.7.1.zip
-
修改配置文件
vim /etc/kibana/kibana.yml
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://127.0.0.1:9200"]
#对于Kibana 7.6.X以上的版本,增加kibana的堆大小确保插件正常安装
cat >> /etc/default/kibana << EOF
NODE_OPTIONS="--max_old_space_size=2048"
EOF
#登录
http://192.168.113.107:5601/
四、安装agent
