二.Wazuh的安装与使用

一.安装Wazuh

1.安装必要的库

# yum install curl unzip wget libcap net-tools

2.安装RPM源

# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH

3.添加Repo文件

# vim /etc/yum.repos.d/wazuh.repo

[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1

4.安装Wazuh

# yum install wazuh-manager

5.启动Wazuh

# systemctl start wazuh-manager

6.查看Wazuh运行状态

 

 

二.基础使用

 默认安装目录位于：/var/ossec

1.文档结构

active-respose：主动响应的脚本
agent less：使用非代理模式连接其他服务器（SSH）
bin：OSSEC核心执行程序
etc：配置文件
logs：日志文件夹，也是预警数据的核心文件夹
queue：临时处理队列
rules：检测规则
stats：统计数据
tmp var等：一些内部目录

2.查看日志

/var/ossec/logs/alerts/alerts.json   #预警日志，不适合直接查看，主要用于分析和展示
/var/ossec/logs/alerts/alerts.log     #适用于直接查看

 

三.处理Mysql预警

# find / -name my.cnf
# vim /opt/lampp/etc/my.conf

[mysqld]节点下加入以下命令：
general_log = ON
general_log_file = /opt/lampp/logs/mysql.log
log_output = file

# chmod o+w /opt/lampp/logs
# /opt/lampp/lampp restart

# vim /var/ossec/etc/ossec.conf

 <ossec_config>
 <localfile>
 <log_format>syslog</log_format>
 <location>/var/lampp/logs/mysql.log</location>
 </localfile>

 

# cd /var/ossec/ruleset/rules/

# vim 0295-mysql_rules_xml