目录
[1、添加 Elastic Stack 存储库](#1、添加 Elastic Stack 存储库)
[安装 GPG 密钥:](#安装 GPG 密钥:)
[安装 Elasticsearch 包:](#安装 Elasticsearch 包:)
下载配置文件/etc/elasticsearch/elasticsearch.yml
提取/usr/share/elasticsearch/certs.zip上一步生成的文件
[创建目录/etc/elasticsearch/certs,然后将 CA 文件、证书和密钥复制到其中](#创建目录/etc/elasticsearch/certs,然后将 CA 文件、证书和密钥复制到其中)
[启用并启动 Elasticsearch 服务](#启用并启动 Elasticsearch 服务)
[为所有 Elastic Stack 预构建角色和用户生成凭证](#为所有 Elastic Stack 预构建角色和用户生成凭证)
上面的命令将提示这样的输出,保存用户的密码elastic以进行进一步的步骤:
要检查安装是否成功,请运行以下命令,替换上一步中为用户生成的密码elastic:
[第三步、安装 Wazuh 服务器](#第三步、安装 Wazuh 服务器)
[1、添加 Wazuh 存储库](#1、添加 Wazuh 存储库)
[安装 GPG 密钥](#安装 GPG 密钥)
[2、安装 Wazuh 管理器](#2、安装 Wazuh 管理器)
[安装 Wazuh 管理器包](#安装 Wazuh 管理器包)
[启用并启动 Wazuh 管理器服务](#启用并启动 Wazuh 管理器服务)
[运行以下命令检查 Wazuh 管理器是否处于活动状态](#运行以下命令检查 Wazuh 管理器是否处于活动状态)
[1、安装 Filebeat 包](#1、安装 Filebeat 包)
[安装 Filebeat 包](#安装 Filebeat 包)
[下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件](#下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件)
[下载 Elasticsearch 的警报模板](#下载 Elasticsearch 的警报模板)
[下载 Filebeat 的 Wazuh 模块](#下载 Filebeat 的 Wazuh 模块)
编辑该文件/etc/filebeat/filebeat.yml并添加以下行
[1、安装 Kibana 包](#1、安装 Kibana 包)
[2、将 Elasticsearch 证书复制到 Kibana 配置文件夹中](#2、将 Elasticsearch 证书复制到 Kibana 配置文件夹中)
[3、下载 Kibana 配置文件](#3、下载 Kibana 配置文件)
[5、安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成,如下所示](#5、安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成,如下所示)
[6、将 Kibana 的套接字链接到特权端口 443](#6、将 Kibana 的套接字链接到特权端口 443)
[7、启用并启动 Kibana 服务](#7、启用并启动 Kibana 服务)
8、使用Elasticsearch安装过程中生成的密码访问Web界面
[方法二:将 Wazuh VM 导入主机操作系统](#方法二:将 Wazuh VM 导入主机操作系统)
[访问 Wazuh 仪表板](#访问 Wazuh 仪表板)
方法一:一体化部署
安装先决条件
安装时需要一些额外的软件包,例如curl或unzip,这些软件包将在后续步骤中使用。但是,如果服务器上已安装curl和 ,则可以跳过此步骤。unzip
准备条件:一个纯净的ubuntu环境
下载vim:
root@wazuh:/home/ubuntu# apt-get install vim
第一步、安装所有必需的软件包
root@wazuh:/home/ubuntu# apt-get install apt-transport-https zip unzip lsb-release curl gnupg
第二步、安装Elasticsearch
1、添加 Elastic Stack 存储库
安装 GPG 密钥:
root@wazuh:/home/ubuntu# curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/elasticsearch.gpg --import && chmod 644 /usr/share/keyrings/elasticsearch.gpg
添加存储库:
root@wazuh:/home/ubuntu# echo "deb [signed-by=/usr/share/keyrings/elasticsearch.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-7.x.list
更新源:
root@wazuh:/home/ubuntu# apt-get update
2、Elasticsearch安装和配置
安装 Elasticsearch 包:
root@wazuh:/home/ubuntu# apt-get install elasticsearch=7.17.9
这一步需要比较长的时间,请耐心等待......
下载配置文件/etc/elasticsearch/elasticsearch.yml
root@wazuh:/home/ubuntu# curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/elasticsearch_all_in_one.yml
3、创建和部署证书
下载用于创建证书的配置文件
root@wazuh:/home/ubuntu# curl -so /usr/share/elasticsearch/instances.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/instances_aio.yml
在以下步骤中,将创建一个文件,其中包含以此处定义的实例命名的文件夹。该文件夹将包含使用 SSL 与 Elasticsearch 节点通信所需的证书和密钥。
用elasticsearch-certutil工具创建证书
root@wazuh:/home/ubuntu# /usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --keep-ca-key --out ~/certs.zip
提取/usr/share/elasticsearch/certs.zip上一步生成的文件
root@wazuh:/home/ubuntu# unzip ~/certs.zip -d ~/certs
创建目录/etc/elasticsearch/certs,然后将 CA 文件、证书和密钥复制到其中
root@wazuh:/home/ubuntu# mkdir /etc/elasticsearch/certs/ca -p root@wazuh:/home/ubuntu# cp -R ~/certs/ca/ ~/certs/elasticsearch/* /etc/elasticsearch/certs/ root@wazuh:/home/ubuntu# chown -R elasticsearch: /etc/elasticsearch/certs root@wazuh:/home/ubuntu# chmod -R 500 /etc/elasticsearch/certs root@wazuh:/home/ubuntu# chmod 400 /etc/elasticsearch/certs/ca/ca.* /etc/elasticsearch/certs/elasticsearch.* root@wazuh:/home/ubuntu# rm -rf ~/certs/ ~/certs.zip
启用并启动 Elasticsearch 服务
root@wazuh:/home/ubuntu# systemctl daemon-reload
root@wazuh:/home/ubuntu# systemctl enable elasticsearch
root@wazuh:/home/ubuntu# systemctl start elasticsearch
为所有 Elastic Stack 预构建角色和用户生成凭证
root@wazuh:/home/ubuntu# /usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto
上面的命令将提示这样的输出,保存用户的密码elastic以进行进一步的步骤:
要检查安装是否成功,请运行以下命令,替换<elastic_password>上一步中为用户生成的密码elastic:
root@wazuh:/home/ubuntu# curl -XGET https://localhost:9200 -u elastic:N0l6skCKtAV0ZAi10PXM -k
该命令应该有如下输出:
第三步、安装 Wazuh 服务器
1、添加 Wazuh 存储库
安装 GPG 密钥
root@wazuh:/home/ubuntu# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
添加存储库
root@wazuh:/home/ubuntu# echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
更新包信息
root@wazuh:/home/ubuntu# apt-get update
2、安装 Wazuh 管理器
安装 Wazuh 管理器包
root@wazuh:/home/ubuntu# apt-get install wazuh-manager
启用并启动 Wazuh 管理器服务
root@wazuh:/home/ubuntu# systemctl daemon-reload
root@wazuh:/home/ubuntu# systemctl enable wazuh-manager
root@wazuh:/home/ubuntu# systemctl start wazuh-manager
运行以下命令检查 Wazuh 管理器是否处于活动状态
root@wazuh:/home/ubuntu# systemctl status wazuh-manager
第四步、安装Filebeat
Filebeat 是 Wazuh 服务器上的工具,可将警报和存档事件安全地转发到 Elasticsearch。
1、安装 Filebeat 包
安装 Filebeat 包
root@wazuh:/home/ubuntu# apt-get install filebeat=7.17.9
下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件
root@wazuh:/home/ubuntu# curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/filebeat_all_in_one.yml
下载 Elasticsearch 的警报模板
root@wazuh:/home/ubuntu# curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.5/extensions/elasticsearch/7.x/wazuh-template.json
root@wazuh:/home/ubuntu# chmod go+r /etc/filebeat/wazuh-template.json
下载 Filebeat 的 Wazuh 模块
root@wazuh:/home/ubuntu# curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz | tar -xvz -C /usr/share/filebeat/module
编辑该文件/etc/filebeat/filebeat.yml并添加以下行
root@wazuh:/home/ubuntu# vim /etc/filebeat/filebeat.yml
替换elasticsearch_password为之前为用户生成的密码elastic
output.elasticsearch.password: <elasticsearch_password>
将证书复制到/etc/filebeat/certs/
root@wazuh:/home/ubuntu# cp -r /etc/elasticsearch/certs/ca/ /etc/filebeat/certs/ root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.crt /etc/filebeat/certs/filebeat.crt
root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.key /etc/filebeat/certs/filebeat.key
启用并启动Filebeat服务
root@wazuh:/home/ubuntu# systemctl daemon-reload
root@wazuh:/home/ubuntu# systemctl enable filebeat
root@wazuh:/home/ubuntu# systemctl start filebeat
为确保Filebeat已成功安装,请运行以下命令:
root@wazuh:/home/ubuntu# filebeat test output
该命令应该有如下输出:
第五步、Kibana安装和配置
Kibana 是一个灵活直观的 Web 界面,用于挖掘和可视化存储在 Elasticsearch 中的事件和档案。
1、安装 Kibana 包
root@wazuh:/home/ubuntu# apt-get install kibana=7.17.9
2、将 Elasticsearch 证书复制到 Kibana 配置文件夹中
root@wazuh:/home/ubuntu# mkdir /etc/kibana/certs/ca -p
root@wazuh:/home/ubuntu# cp -R /etc/elasticsearch/certs/ca/ /etc/kibana/certs/ root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.key /etc/kibana/certs/kibana.key
root@wazuh:/home/ubuntu# cp /etc/elasticsearch/certs/elasticsearch.crt /etc/kibana/certs/kibana.crt
root@wazuh:/home/ubuntu# chown -R kibana:kibana /etc/kibana/ root@wazuh:/home/ubuntu# chmod -R 500 /etc/kibana/certs
root@wazuh:/home/ubuntu# chmod 440 /etc/kibana/certs/ca/ca.* /etc/kibana/certs/kibana.*
3、下载 Kibana 配置文件
root@wazuh:/home/ubuntu# curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/kibana_all_in_one.yml
编辑/etc/kibana/kibana.yml文件:
root@wazuh:/home/ubuntu# vim /etc/kibana/kibana.yml
要替换的值:
elasticsearch.password: <elasticsearch_password>
N0l6skCKtAV0ZAi10PXM
<elasticsearch_password>`:Elasticsearch安装和配置过程中为用户生成的密码`elastic`
4、创建/usr/share/kibana/data目录
root@wazuh:/home/ubuntu# mkdir /usr/share/kibana/data
root@wazuh:/home/ubuntu# chown -R kibana:kibana /usr/share/kibana
5、安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成,如下所示
root@wazuh:/home/ubuntu# cd /usr/share/kibana
root@wazuh:/usr/share/kibana# sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.5.0_7.17.9-1.zip
6、将 Kibana 的套接字链接到特权端口 443
root@wazuh:/home/ubuntu# setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node
7、启用并启动 Kibana 服务
root@wazuh:/home/ubuntu# systemctl daemon-reload
root@wazuh:/home/ubuntu# systemctl enable kibana
root@wazuh:/home/ubuntu# systemctl start kibana
8、使用Elasticsearch安装过程中生成的密码访问Web界面
URL: https://<wazuh_server_ip>
user: elastic password: <PASSWORD_elastic>
N0l6skCKtAV0ZAi10PXM
登录成功,awzuh环境配置基本完成!!!
方法二:将 Wazuh VM 导入主机操作系统
硬件要求
在将 Wazuh VM 导入主机操作系统之前,必须满足以下要求:
-
主机操作系统必须是 64 位系统。
-
必须在主机的固件上启用硬件虚拟化。
-
主机系统上应安装虚拟化平台,例如 VirtualBox。
Wazuh VM 开箱即用以下规格进行配置:
| 成分 | CPU(核心) | 内存(GB) | 存储空间(GB) |
|---|---|---|---|
| Wazuh v4.5.0 OVA | 4 | 8 | 50 |
但是,可以根据受保护端点和索引警报数据的数量来修改此硬件配置。
导入并访问虚拟机
-
将 OVA 导入虚拟化平台。
-
如果您使用 VirtualBox,请设置
VMSVGA图形控制器。设置另一个图形控制器会冻结 VM 窗口。-
选择导入的虚拟机。
-
单击设置 >显示
-
在图形控制器 中,选择该
VMSVGA选项。
-
-
启动机器。
-
使用以下用户名和密码访问虚拟机。您可以使用虚拟化平台或通过 SSH 访问它。
user: wazuh-user password: wazuh
SSHroot用户登录已被停用;尽管如此,仍wazuh-user保留 sudo 权限。Root权限提升可以通过执行以下命令来实现:
sudo -i访问 Wazuh 仪表板
启动 VM 后不久,可以使用以下凭据从 Web 界面访问 Wazuh 仪表板:
URL: https://<wazuh_server_ip> user: admin password: admin
您可以<wazuh_server_ip> 通过在VM中输入以下命令来找到:
ip a
配置文件
该虚拟映像中包含的所有组件均配置为开箱即用,无需修改任何设置。然而,所有组件都可以完全定制。这些是配置文件位置:
wazuh manager:
/var/ossec/etc/ossec.confWazuh 索引器:
/etc/wazuh-indexer/opensearch.ymlFilebeat-OSS:
/etc/filebeat/filebeat.yml瓦祖仪表板:
/etc/wazuh-dashboard/opensearch_dashboards.yml
/usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml
VirtualBox时间配置
在使用 VirtualBox 的情况下,一旦导入虚拟机,当 VirtualBox 同步客户计算机的时间时,可能会遇到由于时间偏差而导致的问题。为了避免这种情况,请在虚拟机配置选项卡中启用该选项。Hardware Clock in UTC Time``System
默认情况下,网络接口类型设置为桥接适配器。VM 将尝试从网络 DHCP 服务器获取 IP 地址。或者,可以通过在 VM 所基于的 Amazon Linux 操作系统中配置适当的网络文件来设置静态 IP 地址。
虚拟机导入并运行后,下一步就是在要监控的系统上部署 Wazuh 代理。
在官网下载.ova文件,之后在VM中导入即可
https://packages.wazuh.com/4.x/vm/wazuh-4.5.0.ova
配置名称,路径,点击导入即可
将默认桥接模式改为NET模式,这样才能查询到IP地址
好处:可以不用配置环境,直接使用
基础配置
下载Vim
下载网络工具包
[root@wazuh-server ~]# yum -y install net-tools
查看wazuh主要配置文件目录
[root@wazuh-server ~]# cd /var/ossec/
账号: username:admin
password:admin
