taibeihacker
Moderator
安装Wazuh服务器
Wazuh服務器可以安裝在任何類型的Unix操作系統上。最常見安裝在Linux上。如果可以為您的系統提供自動化腳本,則安裝過程會更容易,但是,從源碼構建和安裝也非常簡單。通常在Wazuh服務器上安裝兩個組件:管理器和API。此外,對於分佈式體系結構(Wazuh服務器將數據發送到遠程Elastic Stack集群),需要安裝Filebeat。
安裝Wazuh服務器有多種選擇,具體取決於操作系統以及是否希望從源代碼構建。請參閱下表並選擇如何安裝:
類型描述RPM包
在CentOS/RHEL/Fedora上安裝Wazuh服務器
DEB包
在Debian/Ubuntu上安裝Wazuh服務器
注意
強烈建議在64位操作系統上安裝Wazuh Server,因為Wazuh API在32位平台上不可用。如果沒有Wazuh API,Wazuh Kibana應用程序的大部分功能都將無法使用。同樣,如果您為Wazuh Server平台使用Red Hat或CentOS,請確保它是版本6或更高版本才能正確安裝Wazuh API。
使用RPM软件包安装Wazuh服务器
對於CentOS/RHEL/Fedora平台,安裝Wazuh服務器組件需要在添加更新源後安裝相關軟件包。注意:下面使用的許多命令都需要以root用戶權限執行。
添加Wazuh存储库
設置Wazuh的第一步是將Wazuh更新源添加到您的系統中。如果您想直接下載wazuh-manager軟件包,或查看兼容版本,請單擊此處。要設置更新源,請運行以下命令:
# cat /etc/yum.repos.d/wazuh.repo \EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF
對於CentOS-5和RHEL-5:
# cat /etc/yum.repos.d/wazuh.repo \EOF
[wazuh_repo]
gpgcheck=1
gpgkey=http://packages.wazuh.com/key/GPG-KEY-WAZUH-5
enabled=1
name=Wazuh repository
baseurl=http://packages.wazuh.com/3.x/yum/5/$basearch/
protect=1
EOF
安装Wazuh Manager
下一步是在您的系統上安裝Wazuh Manager:# yum install wazuh-manager
完成此過程後,您可以使用以下命令檢查服務狀態
a.for Systemd:
# systemctl status wazuh-manager
b.For SysV Init:
# service wazuh-manager status
安装Wazuh API
要運行Wazuh API,需要NodeJS=4.6.1。如果您沒有安裝NodeJS或者您的版本低於4.6.1,我們建議您添加官方NodeJS更新源庫,如下所示:# curl --silent --location https://rpm.nodesource.com/setup_8.x | bash -
然後,安裝NodeJS:
# yum install nodejs
2.要運行Wazuh API,需要Python=2.7。它默認安裝或包含在大多數Linux發行版的官方庫中。
要確定係統上的python版本是否低於2.7,可以運行以下命令:
# python --version
It is possible to set a custom Python path for the API in ``/var/ossec/api/configuration/config.js``, in case the stock version of Python in your distro is too old:
config.python=[
//Default installation
{
bin: 'python',
lib: ''
},
//Package 'python27' for CentOS 6
{
bin: '/opt/rh/python27/root/usr/bin/python',
lib: '/opt/rh/python27/root/usr/lib64'
}
];
CentOS 6和Red Hat 6附帶Python 2.6,但是,你可以並行安裝Python 2.7來兼容舊版本
a.對於CentOS 6:
# yum install -y centos-release-scl
# yum install -y python27
b.對於RHEL 6:
# yum install python27
您可能需要首先啟用存儲庫以獲取python27,使用如下命令:
# yum-config-manager --enable rhui-REGION-rhel-server-rhscl
# yum-config-manager --enable rhel-server-rhscl-6-rpms
3.安裝Wazuh API。如果需要,它將更新NodeJS:
# yum install wazuh-api
4.完成此過程後,您可以使用以下命令檢查服務狀態:
a.for Systemd:
# systemctl status wazuh-api
b.for SysV Init:
# service wazuh-api status
5.(可選)禁用Wazuh更新源:
建議禁用Wazuh更新源以防止意外升級。為此,請使用以下命令:
# sed -i 's/^enabled=1/enabled=0/' /etc/yum.repos.d/wazuh.repo
安装Filebeat
Filebeat是Wazuh服務器上的工具,可以將警報和歸檔事件安全地轉發到Elastic Stack服務器上的Logstash服務上警告:在單主機架構中(Wazuh服務器和Elastic Stack安裝在同一系統中),不需要安裝Filebeat,因為Logstash將能夠直接從本地文件系統讀取事件/警報數據,而無需轉發器。
RPM軟件包適合安裝在Red Hat,CentOS和其他基於RPM的系統上
從Elastic安裝GPG密鑰,然後安裝Elastic更新源:
# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
# cat /etc/yum.repos.d/elastic.repo EOF
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
2.安裝Filebeat:
# yum install filebeat-6.6.0
3.從Wazuh存儲庫下載Filebeat配置文件。這是預配置為將Wazuh警報轉發給Logstash:
# curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/filebeat/filebeat.yml
4. 編輯文件/etc/filebeat/filebeat.yml並替換ELASTIC_SERVER_IP為Elastic Stack服務器的IP地址或主機名。例如:
output:
logstash:
hosts: ['ELASTIC_SERVER_IP:5000']
5.啟動Filebeat服務:
a.for Systemd:
# systemctl daemon-reload
# systemctl enable filebeat.service
# systemctl start filebeat.service
b.for SysV Init:
# chkconfig --add filebeat
# service filebeat start
6.(可選)禁用Elasticsearch存儲庫:
建議禁用Elasticsearch更新源,以防止升級到較新的Elastic Stack版本,為此,請使用以下命令:
# sed -i 's/^enabled=1/enabled=0/' /etc/yum.repos.d/elastic.rep
使用DEB包安装Wazuh服务器
對於Debian/Ubuntu平台,安裝Wazuh服務器組件需要在添加存儲庫後安裝相關的軟件包。下面使用的許多命令都需要以root用戶權限執行。添加Wazuh更新源
設置Wazuh的第一步是將Wazuh更新源添加到您的系統上。如果您想直接下載wazuh-manager軟件包,或查看兼容版本,請單擊此處。要執行此過程中,curl,apt-transport-https和lsb-release軟件包必須安裝在系統上。如果它們沒被安裝,請使用以下命令安裝它們:
# apt-get update
# apt-get install curl apt-transport-https lsb-release
如果該/usr/bin/python文件不存在(如在Ubuntu 16.04 LTS或更高版本中),請使用以下命令創建Python(2.7或更高版本):
# if [ ! -f /usr/bin/python ]; then ln -s /usr/bin/python3 /usr/bin/python; fi
2.安裝GPG密鑰
# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
3.添加更新源
# echo 'deb https://packages.wazuh.com/3.x/apt/stable main' | tee -a /etc/apt/sources.list.d/wazuh.list
4.更新包
# apt-get update
安装Wazuh Manager
在您的終端上,安裝Wazuh manager:# apt-get install wazuh-manager
完成此過程後,您可以使用以下命令檢查服務狀態:
a. for Systemd:
# systemctl status wazuh-manager
b.for SysV Init:
# service wazuh-manager status
安装Wazuh API
要運行Wazuh API,需要NodeJS=4.6.1。如果您沒有安裝NodeJS或者您的版本低於4.6.1,我們建議您添加官方NodeJS存儲庫,如下所示:# curl -sL https://deb.nodesource.com/setup_8.x | bash -
如果您使用的是Ubuntu 12.04(Precise)或Debian 7(Wheezy),則必須使用以下命令安裝NodeJS 6:
#curl-sLhttps://deb.nodesource.com/setup_6.x|bash-
然後,安裝NodeJS:
# apt-get install nodejs
2.要運行API,需要Python=2.7。它默認安裝或包含在大多數Linux發行版的官方庫中。
要確定係統上的python版本是否低於2.7,可以運行以下命令:
# python --version
It is possible to set a custom Python path for the API in ``/var/ossec/api/configuration/config.js``, in case the stock version of Python in your distro is too old:
config.python=[
//Default installation
{
bin: 'python',
lib: ''
},
//Package 'python27' for CentOS 6
{
bin: '/opt/rh/python27/root/usr/bin/python',
lib: '/opt/rh/python27/root/usr/lib64'
}
];
3.安裝Wazuh API。如果需要,它將更新NodeJS:
# apt-get install wazuh-api
4.完成此過程後,您可以使用以下命令檢查服務狀態:
a.for Systemd:
# systemctl status wazuh-api
b.for SysV Init:
# service wazuh-api status
5.(可選)禁用Wazuh更新:
建議禁用Wazuh更新源以防止意外升級。為此,請使用以下命令:
# sed -i 's/^deb/#deb/' /etc/apt/sources.list.d/wazuh.list
# apt-get update
或者,您可以將程序包狀態設置為hold,這將停止更新(儘管您仍然可以手動升級它)
# echo 'wazuh-manager hold' | sudo dpkg --set-selections
# echo 'wazuh-api hold' | sudo dpkg --set-selections
安装Filebeat
Filebeat是Wazuh服務器上的工具,可以將警報和歸檔事件安全地轉發到Elastic Stack服務器上的Logstash服務。警告:在單主機架構中(Wazuh服務器和Elastic Stack安裝在同一系統中),不需要安裝Filebeat,因為Logstash將能夠直接從本地文件系統讀取事件/警報數據,而無需轉發器。
DEB包適用於Debian,Ubuntu和其他基於Debian的系統。
從Elastic安裝GPG密鑰,然後安裝Elastic存儲庫:
# curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
# echo 'deb https://artifacts.elastic.co/packages/6.x/apt stable main' | tee /etc/apt/sources.list.d/elastic-6.x.list
# apt-get update
2.安裝Filebeat:
# apt-get install filebeat=6.6.0
3.從Wazuh更新源下載Filebeat配置文件。這是預配置為將Wazuh警報轉發給Logstash:
# curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/filebeat/filebeat.yml
4. 編輯文件/etc/filebeat/filebeat.yml並替換ELASTIC_SERVER_IP為Elastic Stack服務器的IP地址或主機名。例如:
output:
logstash:
hosts: ['ELASTIC_SERVER_IP:5000']
5.啟動Filebeat服務:
a.for Systemd:
# systemctl daemon-reload
# systemctl enable filebeat.service
# systemctl start filebeat.service
b.for SysV Init:
# update-rc.d filebeat defaults 95 10
# service filebeat start
6.(可選)禁用Elasticsearch更新:
建議禁用Elasticsear更新源,以防止升級到較新的Elastic Stack版本,為此,請使用以下命令:
# sed -i 's/^deb/#deb/' /etc/apt/sources.list.d/elastic-6.x.list
# apt-get update
或者,您可以將程序包狀態設置為hold,這將停止更新(儘管您仍然可以手動升級它)
# echo 'filebeat hold' | sudo dpkg --set-selections
安装Elastic Stack
本指南介紹了由Logstash,Elasticsearch和Kibana組成的Elastic Stack服務器的安裝。我們將說明這些基於包的組件安裝。您也可以從源代碼編譯tar 安裝它們,但是,這不是Wazuh文檔中的首選安裝。除了Elastic Stack組件,您還可以找到安裝和配置Wazuh應用程序(部署為Kibana插件)的說明。
根據您的操作系統,您可以選擇從RPM或DEB軟件包安裝Elastic Stack。請參閱下表並選擇:
類型描述RPM包
在CentOS/RHEL/Fedora上安裝Elastic Stack
DEB包
在Debian/Ubuntu上安裝Elastic Stack
注意
目前,Elastic Stack僅支持64位操作系統
使用RPM软件包安装Elastic Stack
RPM軟件包適合安裝在Red Hat,CentOS和其他基於RPM的系統上。注意:下面的許多命令都需要以root用戶權限執行。
Preparation
Logstash和Elasticsearch需要Oracle Java JRE 8。
注意:以下命令下載Oracle Java JRE需要帶上cookie。請訪問Oracle Java 8 JRE下載頁面以獲取更多信息。
# curl -Lo jre-8-linux-x64.rpm --header 'Cookie: oraclelicense=accept-securebackup-cookie''https://download.oracle.com/otn-pub...b4e26a04e7f5a083f551e/jre-8u202-linux-x64.rpm'
現在,檢查包是否已成功下載:
# rpm -qlp jre-8-linux-x64.rpm /dev/null 21echo'Java package downloaded successfully'||echo'Java package did not download successfully'
最後,使用yum安裝RPM包:
# yum -y install jre-8-linux-x64.rpm
# rm -f jre-8-linux-x64.rpm
2.安裝Elastic存儲庫及其GPG密鑰:
# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
# cat /etc/yum.repos.d/elastic.repo EOF
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
Elasticsearch
Elasticsearch是一個高度可擴展的全文搜索和分析引擎。有關更多信息,請參閱Elasticsearch。
安裝Elasticsearch包:
# yum install elasticsearch-6.6.0
2.啟動Elasticsearch服務:
a.for Systemd:
# systemctl daemon-reload
# systemctl enable elasticsearch.service
# systemctl start elasticsearch.service
b.for SysV Init:
# chkconfig --add elasticsearch
# service elasticsearch start
等待Elasticsearch服務器完成啟動非常重要。使用以下命令檢查當前狀態,該命令應該給出如下所示的響應:
# curl 'http://localhost:9200/?pretty'
{
'name' : 'Zr2Shu_',
'cluster_name' : 'elasticsearch',
'cluster_uuid' : 'M-W_RznZRA-CXykh_oJsCQ',
'version' : {
'number' : '6.6.0',
'build_flavor' : 'default',
'build_type' : 'rpm',
'build_hash'