部署安装Wazuh

关于Wazhu可以通过以下2种方式部署安装

 

第一种方法为：下载镜像 将镜像导入VM虚拟机里安装（需要电脑里有VM虚拟机软件）

https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html

打开链接

下载wazhu镜像

 

 

该版本为4.7.1

如果想要切换版本

则点击右上角

选择需要的版本即可

 

 

 

第二种方法为：在服务器上使用sh脚本进行安装

在服务器上获取脚本并执行

curl -sO https://packages.wazuh.com/4.5/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

执行完成后 然后可以调转到下面的

七、访问wazuh页面

去进行下一步的配置

 

 

本篇博客重点介绍第一种方法

即下载镜像 将镜像导入VM虚拟机里安装（需要电脑里有VM虚拟机软件）

环境介绍：

serverIP：192.168.1.40    服务端   

clientIP：192.168.1.56      客户端

 

一、点击下载好wazhu的镜像

 

 

二、输入新虚拟机名称和新虚拟机的存储路径

 

最后点击导入

 

耐心等待

 

 

 三、导入后，默认配置是这样的

 

 

关于wazuh服务器配置的话 可以根据自己的需要来配置

这里给虚拟机加大了磁盘空间

默认为50G 这里加到了100G

3.1点击编辑虚拟机设置（可选操作）

 

 

 3.2选择硬盘 后点击扩展 输入100 最后点击扩展（可选操作）

 

 

 四、开启Wazuh虚拟机

 

开启后信息如下：

用户为：wazuh-user

密码为：wazuh

 

 五、查看IP，使用xshell连接

 

 

 六、下载vim包（可选操作）

切换至root用户

 

 su root

输入root密码：wazuh

 

yum -y install vim

 

七、访问wazuh页面

因为导入的是镜像所以会集成安装所需的所有包且默认都已经启动

直接访问

https://192.168.1.40

将192.168.1.40换成你自己的IP

默认账户和密码均为：admin

 

 八、添加客户端

 

可以参考官网：https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html

 

登录进来后 可以看到以下界面：

 

 8.1添加Agents

首先点击wazuh

然后点击Agents

 

 

8.2填入信息

8.2.1选择对应的操作系统

这里client是centos7.5系统

所以选择RPM adm64

8.2.2.输入服务器的IP

8.2.3输入服务器的名字

 

 

8.2.4默认选择default

 

8.3将下面两条命令复制的要安装客户端的服务器上

也就是192.168.1.56服务器

 

 

如图：

 

 

8.4添加完成后 你会发现agent的数量还是0

如图

 

 

 8.5看下日志

切换到server服务器上 也就是192.168.1.40

首先切换到root用户提权

su root

输入密码：wazuh

然后再查看

cat /var/ossec/logs/ossec.log

 

 发现被客户端被拒绝了

 

8.6解决Wazuh添加Agents后不显示报错问题

8.6.1在server服务器上也就是192.168.1.40 执行manage_agents脚本

cd到ossec的bin路径下

cd /var/ossec/bin/

./manage_agents

 

如图：

 

8.6.2添加客户端信息

首先输入：A（大写）

然后输入客户端的名字：web

然后输入客户端的IP：192.168.1.56

最后输入：y（保存）

如图：

 

 8.6.3生成KEY文件

8.6.3.1首先输入：E（大写）

因为ID为001

8.6.3.2所以这里输入：001

然后复制下这个key：

MDAxIHdlYiAxOTIuMTY4LjEuNTYgNWFhOTAzZjIxOTA0NzhkNzJjMmY4MDkxZTZkZmJlOTk0ZGM4MTQ5MzhlMGMxYjIwMjQ3YTFhMmRhYTNkZTU3Mg==（每个人生成的都不一样）

这个key 要到client192.168.1.56上使用

如图：

 

 

最后按回车

输入：q（退出）

如图：

 

 

8.6.4在客户端 也就是 192.168.1.56 运行manage_agents脚本

首先切换登录至client服务器

cd到ossec的bin路径下

cd /var/ossec/bin/

执行manage_agents脚本

./manage_agents

如图：

 

 

8.6.5将server服务器上生成的key导入到client服务器上

首先输入：I（大写的i）

然后输入刚刚复制的key：MDAxIHdlYiAxOTIuMTY4LjEuNTYgNWFhOTAzZjIxOTA0NzhkNzJjMmY4MDkxZTZkZmJlOTk0ZGM4MTQ5MzhlMGMxYjIwMjQ3YTFhMmRhYTNkZTU3Mg==

然后输入：y（保存）

如图：

 

 

8.6.6退出

输入：q（退出）

如图：

 

 

8.6.7重启wazuh-agent服务

还是在client服务器上 也就是 192.168.1.56

输入以下命令：

systemctl restart wazuh-agent

8.6.8再次刷新访问后 发现有Agents信息了

 

 8.7解决 Agent has never connected.报错问题

点击IP

 

进来后发现如下：

 

 

8.7.1可能是client服务器上 也就是192.168.1.56

配置文件服务器IP地址写错了

登录到client服务器上 也就是192.168.1.56

8.7.2编辑配置文件

vim /var/ossec/etc/ossec.conf

在第10行果然发现是IP地址写错的问题

 

 

将192.168.1.56修改为192.168.1.40

 

 然后

:wq

保存退出

8.7.3重启wazuh-agent服务

还是在client服务器上 也就是 192.168.1.56

输入以下命令：

systemctl restart wazuh-agent

8.7.4再次刷新访问后 发现可以看到信息了

 

 

九、卸载 wazuh-agent

参考官网：https://documentation.wazuh.com/current/installation-guide/wazuh-agent/wazuh-agent-package-linux.html

在客户端服务器上输入以下三条命令

yum -y remove wazuh-agent

systemctl disable wazuh-agent

systemctl daemon-reload

 再检查下是否卸载掉

systemctl status wazuh-agent

 

 

 发现已卸载