CentOS 8 中安装和设置 Wazuh 服务器

Wazuh 是一款免费的开源安全监控工具,可在应用程序和操作系统级别监控安全事件。 它使用 Elastic Stack 通过基于 Web 的界面可视化事件数据。 Wazuh 允许用户从网络浏览器搜索安全事件数据。 它提供了一组丰富的功能,包括入侵检测、文件完整性监控、日志数据分析、事件响应、漏洞检测等。

在这篇文章中,我们将向我们展示 CentOS 8 上安装 Wazuh 服务器。

先决条件

  • 云平台上的全新 CentOS 8 服务器
  • 在我们的服务器上配置的 root 密码

第 1 步 – 创建 云服务器

首先,登录到我们的 云服务器。 创建一个新服务器,选择 CentOS 8 作为至少 2GB RAM 的操作系统。 通过 SSH 连接到我们的云服务器并使用页面顶部突出显示的凭据登录。

登录到 CentOS 8 服务器后,运行以下命令以使用最新的可用软件包更新基本系统。

dnf update -y

第 2 步 – 安装 Java

Wazuh 是基于 Java 的应用程序,因此必须在我们的服务器上安装 Java。 如果未安装,我们可以使用以下命令安装它:

dnf install java-11-openjdk-devel -y

安装 Java 后,使用以下命令验证 Java 版本:

java -version

样本输出:

openjdk version "11.0.11" 2021-04-20 LTS
OpenJDK Runtime Environment 18.9 (build 11.0.11+9-LTS)
OpenJDK 64-Bit Server VM 18.9 (build 11.0.11+9-LTS, mixed mode, sharing)

第 3 步 – 安装 Wazuh 服务器

默认情况下,CentOS 8 默认存储库中不包含 Wazuh 服务器包,因此我们需要为 Wazuh 创建一个存储库。

首先,使用以下命令导入 GPG 密钥:

rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH

接下来,使用以下命令创建一个 Wazuh 存储库:

nano /etc/yum.repos.d/wazuh.repo

添加以下行:

[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1

保存并关闭文件,然后使用以下命令安装 Wazuh 服务器:

dnf install wazuh-manager -y

安装 Wazuh 服务器后,启动 Wazuh 服务并使其在系统重新启动时启动:

systemctl enable --now wazuh-manager

第 4 步 – 安装 Elasticsearch 和 Kibana

首先,使用以下命令导入 Elasticsearch GPG 密钥:

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

接下来,使用以下命令创建一个 Elasticsearch 存储库:

nano /etc/yum.repos.d/elasticsearch.repo

添加以下行:

[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

保存并关闭文件,然后使用以下命令安装 Elasticsearch 和 Kibana:

dnf install elasticsearch-7.11.2 kibana-7.11.2 -y

安装完成后,启动 Elasticsearch 并使其在系统重启时启动:

systemctl enable elasticsearch.service --now

接下来,编辑 Kibana 配置文件并定义 Elasticsearch 主机、服务器端口和服务器主机:

nano /etc/kibana/kibana.yml

更改以下行:

server.port: 5601 
server.host: "45.58.42.91"
elasticsearch.hosts: [http://localhost:9200]

保存并关闭文件,然后启动 Kibana 服务并使其在系统重启时启动:

systemctl enable --now kibana

第 5 步 – 安装和配置 Filebeat

首先,使用以下命令安装 Filebeat:

dnf install filebeat-7.11.2 -y

安装后,我们需要配置 Filebeat 以使用 Wazuh。

首先,备份Filebeat配置文件:

mv /etc/filebeat/filebeat.yml{,.bak}

接下来,下载预配置的配置文件:

curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v4.0.3/extensions/filebeat/7.x/filebeat.yml

接下来,编辑下载的文件:

nano /etc/filebeat/filebeat.yml

添加或修改以下行:

#output.elasticsearch.hosts: ['http://YOUR_ELASTIC_SERVER_IP:9200']
output.elasticsearch.hosts: ['http://localhost:9200']

logging.level: info
logging.to_files: true
logging.files:
  path: /var/log/filebeat
  name: filebeat
  keepfiles: 7
  permissions: 0644

保存并关闭文件,然后使用以下命令验证 Filebeat:

filebeat test output

样本输出:

elasticsearch: http://localhost:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: ::1, 127.0.0.1
    dial up... OK
  TLS... WARN secure connection disabled
  talk to server... OK
  version: 7.13.3

第 6 步 – 安装 Filebeat Wazuh 模块

接下来,我们需要下载并安装 Filebeat 的 Wazuh 模块。 我们可以使用以下命令下载它:

wget https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz

接下来,为 Wazuh 创建一个目录,并将下载文件的内容提取到 Wazuh 目录:

mkdir /usr/share/filebeat/module/wazuh
tar xzf wazuh-filebeat-0.1.tar.gz -C /usr/share/filebeat/module/wazuh/ --strip-components=1

接下来,使用以下命令下载 Wazuh Elasticsearch 警报索引模板:

curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.1/extensions/elasticsearch/7.x/wazuh-template.json

接下来,使用以下命令进行设置:

filebeat setup --path.config /etc/filebeat --path.home /usr/share/filebeat --path.data /var/lib/filebeat --index-management -E setup.template.json.enabled=false

接下来,重新启动 Filebeat 服务以应用更改:

systemctl restart filebeat

第 7 步 – 为 Kibana 安装 Wazuh 插件

首先,为 Kibana 创建一个数据目录并为 kibana 目录设置正确的所有权:

mkdir /usr/share/kibana/data
chown -R kibana: /usr/share/kibana/

接下来,将目录更改为 Kibana 并安装 Wazuh 插件:

cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.1.5_7.11.2-1.zip

安装插件后,使用以下命令验证已安装的插件:

sudo -u kibana /usr/share/kibana/bin/kibana-plugin list

样本输出:

wazuh@4.1.5-4108

最后,重新启动所有服务以应用更改:

systemctl restart kibana
systemctl restart elasticsearch
systemctl restart wazuh-manager

第 8 步 – 访问 Kibana 仪表板

我们现在可以使用 URL http://server-IP:5601 访问 Kibana Web 界面。 我们应该在以下页面上看到 Kibana 仪表板:
Kibana 欢迎页面

单击我自己的探索。 我们应该看到以下屏幕:
Kibana 仪表板页面

现在,单击菜单并选择 Wazuh。 我们应该在以下页面上看到 Wazuh 仪表板:
访问 Wazuh 页面
Wazuh DashboardPage

恭喜!我们已在 CentOS 8 上成功安装并配置了带有 ELK 堆栈的 Wazuh 服务器。我们现在可以在客户端计算机上安装和配置 Wazuh 代理,并从 Wazuh 仪表板开始监控它——在 Atlantic 的专用服务器托管上试用。网。

© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发

请登录后发表评论