Wazuh 是一个开源的安全监控和合规性解决方案,旨在帮助组织保护其信息系统免受安全威胁。它提供了一系列功能,包括入侵检测、日志分析、文件完整性监控、漏洞检测和合规性报告。Wazuh 可以监控各种操作系统,包括 Linux、Windows 和 macOS,并且可以与现有的安全基础设施集成,如 SIEM(安全信息和事件管理)系统。

Wazuh 的核心组件包括:

代理:安装在监控的系统上,负责收集日志、监控文件完整性和执行其他安全相关的任务。 管理器:中央服务器,负责接收来自代理的数据、分析数据并生成警报。 规则引擎:基于规则的引擎,用于检测潜在的安全威胁。 合规性模块:帮助组织满足各种安全标准和法规要求,如 PCI DSS、HIPAA 等。 Wazuh 还提供了与 Elastic Stack(Elasticsearch、Logstash、Kibana)的集成,使得用户可以通过 Kibana 界面来可视化和分析安全数据。 wazuh官网 官网有提供脚本安装和逐步安装 使用amazon linux2服务器部署 官方提供一键安装脚本

curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh

执行脚本推荐的系统有 Red Hat Enterprise Linux (RHEL) 7, 8, 9 CentOS 7, 8 Amazon Linux 2 Ubuntu 16.04, 18.04, 20.04, 22.04 运行脚本等待安装

sudo bash ./wazuh-install.sh -a

如果curl下载不下来,提供本地脚本下载 官网客户端下载地址 安装完成进入
安装好后配置文件在/var/ossec/etc/目录内,手动添加客户端时执行命令

/var/ossec/bin/manage_agents

image.png (A)dd an agent (A): 这个选项允许你添加一个新的代理到Wazuh管理服务器。当你选择这个选项时,系统会提示你输入新代理的名称和一些其他信息,然后生成一个唯一的密钥(key),这个密钥将用于新代理与管理服务器之间的认证。 (E)xtract key for an agent (E): 这个选项用于为已经添加到管理服务器的代理提取认证密钥。如果你需要重新配置代理或将其安装到另一台机器上,你可能需要这个密钥。选择这个选项后,系统会显示与指定代理关联的密钥。 (L)ist already added agents (L): 这个选项列出了所有已经添加到Wazuh管理服务器的代理。它会显示每个代理的名称、ID和密钥状态(是否有效)。 (R)emove an agent (R): 这个选项允许你从管理服务器中移除一个代理。当你选择这个选项时,系统会提示你输入要移除的代理的ID或名称。移除代理后,它将不再与管理服务器通信。 (Q)uit.: 这个选项退出代理管理器菜单,返回到命令行界面。 输入A手动添加客户端image.png 先输入客户端的名字,然后输入客户端的ip 输入E,然后输入指定的id可以查询改机器的key image.png

代理端加入服务端有两种方法 1是主动加入,配置文件写入服务端的ip,以自己当前的主机名称作为名字加入服务端 image.png 执行命令后输入I,然后输入在服务端获取的自己的key填进去就可以 2是自动加入,在安装客户端的时候设置环境变量

WAZUH_MANAGER="服务端的ip" yum install wazuh-agent -y

安装后自动以自己当前的hostname加入