安裝Wazuh服務器
Wazuh服務器可以安裝在任何類型的Unix操作系統上。最常見安裝在Linux上。如果可以為您的系統提供自動化腳本,則安裝過程會更容易,但是,從源碼構建和安裝也非常簡單。
通常在Wazuh服務器上安裝兩個組件:管理器和API。此外,對於分布式體系結構(Wazuh服務器將數據發送到遠程Elastic Stack集群),需要安裝Filebeat。
安裝Wazuh服務器有多種選擇,具體取決於操作系統以及是否希望從源代碼構建。請參閱下表並選擇如何安裝:
注意
強烈建議在64位操作系統上安裝Wazuh Server,因為Wazuh API在32位平台上不可用。如果沒有Wazuh API,Wazuh Kibana應用程序的大部分功能都將無法使用。同樣,如果您為Wazuh Server平台使用Red Hat或CentOS,請確保它是版本6或更高版本才能正確安裝Wazuh API。
使用RPM軟件包安裝Wazuh服務器
對於CentOS / RHEL / Fedora平台,安裝Wazuh服務器組件需要在添加更新源后安裝相關軟件包。
注意:下面使用的許多命令都需要以root用戶權限執行。
添加Wazuh存儲庫
設置Wazuh的第一步是將Wazuh更新源添加到您的系統中。如果您想直接下載wazuh-manager軟件包,或查看兼容版本,請單擊此處。
要設置更新源,請運行以下命令:
# cat > /etc/yum.repos.d/wazuh.repo <<\EOF [wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1 EOF
對於CentOS-5和RHEL-5:
# cat > /etc/yum.repos.d/wazuh.repo <<\EOF [wazuh_repo] gpgcheck=1 gpgkey=http://packages.wazuh.com/key/GPG-KEY-WAZUH-5 enabled=1 name=Wazuh repository baseurl=http://packages.wazuh.com/3.x/yum/5/$basearch/ protect=1 EOF
安裝Wazuh Manager
下一步是在您的系統上安裝Wazuh Manager:
# yum install wazuh-manager
完成此過程后,您可以使用以下命令檢查服務狀態
a.for Systemd:
# systemctl status wazuh-manager
b.For SysV Init:
# service wazuh-manager status
安裝Wazuh API
- 要運行Wazuh API,需要NodeJS> = 4.6.1。如果您沒有安裝NodeJS或者您的版本低於4.6.1,我們建議您添加官方NodeJS更新源庫,如下所示:
# curl --silent --location https://rpm.nodesource.com/setup_8.x | bash -然后,安裝NodeJS:
# yum install nodejs2.要運行Wazuh API,需要Python> = 2.7。它默認安裝或包含在大多數Linux發行版的官方庫中。要確定系統上的python版本是否低於2.7,可以運行以下命令:
# python --version It is possible to set a custom Python path for the API in ``/var/ossec/api/configuration/config.js``, in case the stock version of Python in your distro is too old:config.python = [ // Default installation { bin: "python", lib: "" }, // Package 'python27' for CentOS 6 { bin: "/opt/rh/python27/root/usr/bin/python", lib: "/opt/rh/python27/root/usr/lib64" } ];CentOS 6和Red Hat 6附帶Python 2.6,但是,你可以並行安裝Python 2.7來兼容舊版本
a.對於CentOS 6:
# yum install -y centos-release-scl # yum install -y python27b.對於RHEL 6:# yum install python27您可能需要首先啟用存儲庫以獲取python27,使用如下命令:# yum-config-manager --enable rhui-REGION-rhel-server-rhscl # yum-config-manager --enable rhel-server-rhscl-6-rpms3.安裝Wazuh API。如果需要,它將更新NodeJS:
# yum install wazuh-api4.完成此過程后,您可以使用以下命令檢查服務狀態:a.for Systemd:# systemctl status wazuh-apib.for SysV Init:
# service wazuh-api status5.(可選)禁用Wazuh更新源:
建議禁用Wazuh更新源以防止意外升級。為此,請使用以下命令:
# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
安裝Filebeat
Filebeat是Wazuh服務器上的工具,可以將警報和歸檔事件安全地轉發到Elastic Stack服務器上的Logstash服務上
警告:在單主機架構中(Wazuh服務器和Elastic Stack安裝在同一系統中),不需要安裝Filebeat,因為Logstash將能夠直接從本地文件系統讀取事件/警報數據,而無需轉發器。
RPM軟件包適合安裝在Red Hat,CentOS和其他基於RPM的系統上
- 從Elastic安裝GPG密鑰,然后安裝Elastic更新源:
# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch # cat > /etc/yum.repos.d/elastic.repo << EOF [elasticsearch-6.x] name=Elasticsearch repository for 6.x packages baseurl=https://artifacts.elastic.co/packages/6.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF2.安裝Filebeat:
# yum install filebeat-6.6.03.從Wazuh存儲庫下載Filebeat配置文件。這是預配置為將Wazuh警報轉發給Logstash:
# curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/filebeat/filebeat.yml4. 編輯文件/etc/filebeat/filebeat.yml並替換ELASTIC_SERVER_IP 為Elastic Stack服務器的IP地址或主機名。例如:
output: logstash: hosts: ["ELASTIC_SERVER_IP:5000"]5.啟動Filebeat服務:a.for Systemd:
# systemctl daemon-reload # systemctl enable filebeat.service # systemctl start filebeat.serviceb.for SysV Init:# chkconfig --add filebeat # service filebeat start6.(可選)禁用Elasticsearch存儲庫:
建議禁用Elasticsearch更新源,以防止升級到較新的Elastic Stack版本,為此,請使用以下命令:
# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/elastic.rep
使用DEB包安裝Wazuh服務器
對於Debian / Ubuntu平台,安裝Wazuh服務器組件需要在添加存儲庫后安裝相關的軟件包。下面使用的許多命令都需要以root用戶權限執行。
添加Wazuh更新源
設置Wazuh的第一步是將Wazuh更新源添加到您的系統上。如果您想直接下載wazuh-manager軟件包,或查看兼容版本,請單擊此處。
- 要執行此過程中,curl,apt-transport-https和lsb-release軟件包必須安裝在系統上。如果它們沒被安裝,請使用以下命令安裝它們:
# apt-get update # apt-get install curl apt-transport-https lsb-release如果該/usr/bin/python文件不存在(如在Ubuntu 16.04 LTS或更高版本中),請使用以下命令創建Python(2.7或更高版本):
# if [ ! -f /usr/bin/python ]; then ln -s /usr/bin/python3 /usr/bin/python; fi2.安裝GPG密鑰
# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -3.添加更新源
# echo "deb https://packages.wazuh.com/3.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list4.更新包
# apt-get update
安裝Wazuh Manager
在您的終端上,安裝Wazuh manager:
# apt-get install wazuh-manager
完成此過程后,您可以使用以下命令檢查服務狀態:
a. for Systemd:
# systemctl status wazuh-managerb.for SysV Init:# service wazuh-manager status
安裝Wazuh API
- 要運行Wazuh API,需要NodeJS> = 4.6.1。如果您沒有安裝NodeJS或者您的版本低於4.6.1,我們建議您添加官方NodeJS存儲庫,如下所示:
# curl -sL https://deb.nodesource.com/setup_8.x | bash -
如果您使用的是Ubuntu 12.04(Precise)或Debian 7(Wheezy),則必須使用以下命令安裝NodeJS 6:
# curl -sL https://deb.nodesource.com/setup_6.x | bash -
然后,安裝NodeJS:
# apt-get install nodejs2.要運行API,需要Python> = 2.7。它默認安裝或包含在大多數Linux發行版的官方庫中。要確定系統上的python版本是否低於2.7,可以運行以下命令:
# python --version It is possible to set a custom Python path for the API in ``/var/ossec/api/configuration/config.js``, in case the stock version of Python in your distro is too old:config.python = [ // Default installation { bin: "python", lib: "" }, // Package 'python27' for CentOS 6 { bin: "/opt/rh/python27/root/usr/bin/python", lib: "/opt/rh/python27/root/usr/lib64" } ];3.安裝Wazuh API。如果需要,它將更新NodeJS:
# apt-get install wazuh-api4.完成此過程后,您可以使用以下命令檢查服務狀態:a.for Systemd:
# systemctl status wazuh-apib.for SysV Init:# service wazuh-api status5.(可選)禁用Wazuh更新:
建議禁用Wazuh更新源以防止意外升級。為此,請使用以下命令:
# sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/wazuh.list # apt-get update或者,您可以將程序包狀態設置為hold,這將停止更新(盡管您仍然可以手動升級它)
# echo "wazuh-manager hold" | sudo dpkg --set-selections # echo "wazuh-api hold" | sudo dpkg --set-selections
安裝Filebeat
Filebeat是Wazuh服務器上的工具,可以將警報和歸檔事件安全地轉發到Elastic Stack服務器上的Logstash服務。
警告:在單主機架構中(Wazuh服務器和Elastic Stack安裝在同一系統中),不需要安裝Filebeat,因為Logstash將能夠直接從本地文件系統讀取事件/警報數據,而無需轉發器。
DEB包適用於Debian,Ubuntu和其他基於Debian的系統。
- 從Elastic安裝GPG密鑰,然后安裝Elastic存儲庫:
# curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add - # echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-6.x.list # apt-get update2.安裝Filebeat:
# apt-get install filebeat=6.6.03.從Wazuh更新源下載Filebeat配置文件。這是預配置為將Wazuh警報轉發給Logstash:
# curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/filebeat/filebeat.yml4. 編輯文件/etc/filebeat/filebeat.yml並替換ELASTIC_SERVER_IP為Elastic Stack服務器的IP地址或主機名。例如:
output: logstash: hosts: ["ELASTIC_SERVER_IP:5000"]5.啟動Filebeat服務:a.for Systemd:# systemctl daemon-reload # systemctl enable filebeat.service # systemctl start filebeat.serviceb.for SysV Init:
# update-rc.d filebeat defaults 95 10 # service filebeat start6.(可選)禁用Elasticsearch更新:
建議禁用Elasticsear更新源,以防止升級到較新的Elastic Stack版本,為此,請使用以下命令:
# sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/elastic-6.x.list # apt-get update或者,您可以將程序包狀態設置為hold,這將停止更新(盡管您仍然可以手動升級它)
# echo "filebeat hold" | sudo dpkg --set-selections
安裝Elastic Stack
本指南介紹了由Logstash,Elasticsearch和Kibana組成的Elastic Stack服務器的安裝。我們將說明這些基於包的組件安裝。您也可以從源代碼編譯tar 安裝它們,但是,這不是Wazuh文檔中的首選安裝。
除了Elastic Stack組件,您還可以找到安裝和配置Wazuh應用程序(部署為Kibana插件)的說明。
根據您的操作系統,您可以選擇從RPM或DEB軟件包安裝Elastic Stack。請參閱下表並選擇:
注意
目前,Elastic Stack僅支持64位操作系統
使用RPM軟件包安裝Elastic Stack
- Logstash和Elasticsearch需要Oracle Java JRE 8。
注意:以下命令下載Oracle Java JRE需要帶上cookie。請訪問Oracle Java 8 JRE下載頁面以獲取更多信息。
# curl -Lo jre-8-linux-x64.rpm --header "Cookie: oraclelicense=accept-securebackup-cookie""https://download.oracle.com/otn-pub/java/jdk/8u202-b08/1961070e4c9b4e26a04e7f5a083f551e/jre-8u202-linux-x64.rpm"
現在,檢查包是否已成功下載:
# rpm -qlp jre-8-linux-x64.rpm > /dev/null 2>&1&&echo"Java package downloaded successfully"||echo"Java package did not download successfully"
最后,使用yum安裝RPM包:
# yum -y install jre-8-linux-x64.rpm # rm -f jre-8-linux-x64.rpm
2.安裝Elastic存儲庫及其GPG密鑰:
# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch # cat > /etc/yum.repos.d/elastic.repo << EOF [elasticsearch-6.x] name=Elasticsearch repository for 6.x packages baseurl=https://artifacts.elastic.co/packages/6.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF
Elasticsearch是一個高度可擴展的全文搜索和分析引擎。有關更多信息,請參閱Elasticsearch。
- 安裝Elasticsearch包:
# yum install elasticsearch-6.6.0
2.啟動Elasticsearch服務:
a.for Systemd:
# systemctl daemon-reload # systemctl enable elasticsearch.service # systemctl start elasticsearch.service
b.for SysV Init:
# chkconfig --add elasticsearch # service elasticsearch start
等待Elasticsearch服務器完成啟動非常重要。使用以下命令檢查當前狀態,該命令應該給出如下所示的響應:
# curl "http://localhost:9200/?pretty" { "name" : "Zr2Shu_", "cluster_name" : "elasticsearch", "cluster_uuid" : "M-W_RznZRA-CXykh_oJsCQ", "version" : { "number" : "6.6.0", "build_flavor" : "default", "build_type" : "rpm", "build_hash" : "053779d", "build_date" : "2018-07-20T05:20:23.451332Z", "build_snapshot" : false, "lucene_version" : "7.3.1", "minimum_wire_compatibility_version" : "5.6.0", "minimum_index_compatibility_version" : "5.0.0" }, "tagline" : "You Know, for Search" }
3.為Elasticsearch加載Wazuh模板:Kibana的Wazuh應用程序需要Elasticsearch模板才能正常工作,因此確保正確安裝它非常重要。
# curl https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -X PUT "http://localhost:9200/_template/wazuh" -H 'Content-Type: application/json' -d @-
- 安裝Logstash包:
# yum install logstash-6.6.0
2.下載Logstash的Wazuh配置文件:
本地配置(僅在單主機架構中):
# curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/logstash/01-wazuh-local.conf由於Logstash用戶需要讀取alerts.json文件,請運行以下命令將其添加到OSSEC組:
# usermod -a -G ossec logstash遠程配置(僅在分布式架構中):
# curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/logstash/01-wazuh-remote.con
- 編輯文件/etc/logstash/startup.options,將第30行從LS_GROUP = logstash更改為LS_GROUP = ossec
- 通過運行命令 /usr/share/logstash/bin/system-install,並使用新參數更新服務
- 重新啟動Logstash
# systemctl daemon-reload # systemctl enable logstash.service # systemctl start logstash.service
b.for SysV Init:
# chkconfig --add logstash # service logstash start
Kibana是一個靈活,直觀的Web界面,用於可視化存儲在Elasticsearch中的事件和信息。在Kibana上查找更多信息。
- 安裝Kibana包:
# yum install kibana-6.6.0
2.為Kibana安裝Wazuh應用程序插件:
# sudo -u kibana NODE_OPTIONS="--max-old-space-size=3072" /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.8.2_6.6.0.zip
Kibana插件安裝過程可能需要幾分鍾。請耐心等待。
3.可選,Kibana默認只監聽環回接口(localhost)。要將Kibana設置為偵聽所有接口,請編輯文件/etc/kibana/kibana.yml取消注釋並設置server.host,將值更改為:
server.host:"0.0.0.0"
注意:建議為Kibana設置Nginx代理,以便使用SSL加密並啟用身份驗證。可以在為Kibana設置SSL和身份驗證中找到設置代理的說明。
4.啟動Kibana服務:
a.for Systemd:
# systemctl daemon-reload # systemctl enable kibana.service # systemctl start kibana.service
b.for SysV Init:
# chkconfig --add kibana # service kibana start
5.(可選)禁用Elasticsearch更新源:
建議禁用Elasticsearch更新源,以防止升級到較新的Elastic Stack版本,為此,請使用以下命令:
# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/elastic.repo
使用Debian軟件包安裝Elastic Stack
DEB包適用於Debian,Ubuntu和其他基於Debian的系統。
注意:下面的許多命令都需要以root用戶權限執行。
Preparation
1.Logstash和Elasticsearch需要Oracle Java JRE或OpenJDK:
# apt-get update # apt-get install openjdk-8-jrea.
對於Debian <8 / Jessie:
# echo "deb http://ppa.launchpad.net/webupd8team/java/ubuntu xenial main" | tee /etc/apt/sources.list.d/webupd8team-java.list # apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys EEA14886 # apt-get update # apt-get install oracle-java8-installerb.對於Ubuntu <16.04 / Xenial:#add-apt-repository ppa:webupd8team / java#apt-get update#apt-get install oracle-java8-installer2.安裝Elastic存儲庫及其GPG密鑰:
# apt-get install curl apt-transport-https # curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add - # echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-6.x.list # apt-get update
Elasticsearch
Elasticsearch是一個高度可擴展的全文搜索和分析引擎。有關更多信息,請參閱Elasticsearch。
- 安裝Elasticsearch包:
# apt-get install elasticsearch=6.6.02.啟動Elasticsearch服務:a.for Systemd:# systemctl daemon-reload # systemctl enable elasticsearch.service # systemctl start elasticsearch.serviceb.for SysV Init:
# update-rc.d elasticsearch defaults 95 10 # service elasticsearch start等待Elasticsearch服務器完成啟動是非常重要。使用以下命令檢查當前狀態,該命令應該給出如下所示的響應:
# curl "http://localhost:9200/?pretty" { "name" : "Zr2Shu_", "cluster_name" : "elasticsearch", "cluster_uuid" : "M-W_RznZRA-CXykh_oJsCQ", "version" : { "number" : "6.6.0", "build_flavor" : "default", "build_type" : "deb", "build_hash" : "053779d", "build_date" : "2018-07-20T05:20:23.451332Z", "build_snapshot" : false, "lucene_version" : "7.3.1", "minimum_wire_compatibility_version" : "5.6.0", "minimum_index_compatibility_version" : "5.0.0" }, "tagline" : "You Know, for Search" }3.為Elasticsearch加載Wazuh模板:Kibana的Wazuh應用程序需要Elasticsearch模板才能正常工作,因此確保正確它非常重要。
# curl https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -X PUT "http://localhost:9200/_template/wazuh" -H 'Content-Type: application/json' -d @-
注意:建議編輯默認配置以提高Elasticsearch的性能。為此,請參閱Elasticsearch調優。
Logstash
Logstash是收集,解析和轉發數據到Elasticsearch的工具,用於索引和存儲Wazuh服務器生成的所有日志。有關更多信息,請參閱Logstash。
- 安裝Logstash包:
# apt-get install logstash=1:6.6.0-12.下載Logstash的Wazuh配置文件:a.本地配置(僅在單主機架構中):
# curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/logstash/01-wazuh-local.conf由於Logstash用戶需要讀取alerts.json文件,請運行以下命令將其添加到OSSEC組:
# usermod -a -G ossec logstashb.遠程配置(僅在分布式架構中):# curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/logstash/01-wazuh-remote.conf3. 啟用並啟動Logstash服務:a.for Systemd:
# systemctl daemon-reload # systemctl enable logstash.service # systemctl start logstash.serviceb.for SysV Init:# update-rc.d logstash defaults 95 10 # service logstash start
注意:如果您在不同的系統(分布式體系結構)上運行Wazuh服務器和Elastic Stack服務器,則在Filebeat和Logstash之間配置加密非常重要。為此,請參閱為Filebeat和Logstash設置SSL。
Kibana
Kibana是一個靈活,直觀的Web界面,用於可視化存儲在Elasticsearch中的事件和信息。在Kibana上查找更多信息。
- 安裝Kibana包:
# apt-get install kibana=6.6.0
- 為Kibana安裝Wazuh應用程序插件:
# sudo -u kibana NODE_OPTIONS="--max-old-space-size=3072" /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.8.2_6.6.0.zipKibana插件安裝過程可能需要幾分鍾。請耐心等待
3.可選,Kibana默認只監聽環回接口(localhost)。要將Kibana設置為偵聽所有接口,請編輯該文件/etc/kibana/kibana.yml,並取消注釋該設置server.host。將值更改為:
server.host: "0.0.0.0"注意:建議為Kibana設置Nginx代理,以便使用SSL加密並啟用身份驗證。可以在為Kibana設置SSL和身份驗證中找到設置代理的說明。
4.並啟動Kibana服務:
a.for Systemd:
# systemctl daemon-reload # systemctl enable kibana.service # systemctl start kibana.serviceb. for SysV Init:# update-rc.d kibana defaults 95 10 # service kibana start5.(可選)禁用Elasticsearch更新:
建議禁用Elasticsearch更新源,以防止升級到較新的Elastic Stack版本,因為可能會撤消應用程序的更改。為此,請使用以下命令:
# sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/elastic-6.x.list # apt-get update或者,您可以將程序包狀態設置為hold,這將停止更新(盡管您仍然可以手動升級它)
# echo "elasticsearch hold" | sudo dpkg --set-selections # echo "kibana hold" | sudo dpkg --set-selections # echo "logstash hold" | sudo dpkg --set-selections
安裝Wazuh代理
Wazuh代理程序在您要監控的主機上運行。它是多平台的,並提供以下功能:
- 日志和數據收集,
- 文件完整性監控,
- rootkit和惡意軟件檢測
- 安全策略監測
此外,它還與Wazuh manger 進行通信,通過加密和認證的通道實時地發送數據。
安裝Wazuh代理有多種選擇,具體取決於操作系統以及是否希望從源代碼構建。請參閱下表並選擇如何繼續執行:
| 類型 | 描述 |
|---|---|
| RPM包 | 在CentOS / RHEL / Fedora上安裝Wazuh agnet |
| DEB包 | 在Debian / Ubuntu上安裝Wazuh agent |
| Windows安裝程序 | 在Windows上安裝Wazuh agent |
注意:使用Puppet,Chef,SCCM或Ansible等自動化工具可以更輕松地將agnet部署到大量服務器或端點上。如果要在更大的環境中部署Wazuh,請考慮探索這些方法。
使用RPM軟件包安裝Wazuh agent
RPM軟件包適合安裝在Red Hat,CentOS和其他基於RPM的系統上。
注意:下面的許多命令都需要以root用戶權限執行
添加Wazuh存儲庫
安裝Wazuh代理的第一步是將Wazuh存儲庫添加到您的系統。或者,如果您想直接下載wazuh-agent軟件包,或查看兼容版本,可以從這里開始。根據您的發行版運行以下命令來設置更新源:
CentOS 6 / RHEL 6,CentOS 7 / RHEL 7,Fedora 22或更高版本以及Amazon Linux
# cat > /etc/yum.repos.d/wazuh.repo <<\EOF [wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1 EOF
CentOS 5 / RHEL 5
# cat > /etc/yum.repos.d/wazuh.repo <<\EOF [wazuh_repo] gpgcheck=1 gpgkey=http://packages.wazuh.com/key/GPG-KEY-WAZUH-5 enabled=1 name=Wazuh repository baseurl=http://packages.wazuh.com/3.x/yum/5/$basearch/ protect=1 EOF
SUSE 12
# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH # cat > /etc/zypp/repos.d/wazuh.repo <<\EOF [wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1 EOF
SUSE 11
# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH-5 # cat > /etc/zypp/repos.d/wazuh.repo <<\EOF [wazuh_repo] gpgcheck=1 gpgkey=http://packages.wazuh.com/key/GPG-KEY-WAZUH-5 enabled=1 name=Wazuh repository baseurl=http://packages.wazuh.com/3.x/yum/5/$basearch/ protect=1 EOF
安裝Wazuh agent
- 在終端上,按如下方式安裝Wazuh agent:
使用yum包安裝:
# yum install wazuh-agent使用zypper包安裝
# zypper install wazuh-agent
建議禁用Wazuh更新源以防止意外升級。為此,請使用以下命令:
使用yum包管理器:
# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo使用zypper包管理器:
# sed -i "s/^enabled=1/enabled=0/" /etc/zypp/repos.d/wazuh.repo
使用DEB包安裝Wazuh agent
DEB包適用於Debian,Ubuntu和其他基於Debian的系統。
注意:下面的許多命令都需要以root用戶權限執行
添加Wazuh存儲庫
安裝Wazuh代理的第一步是將Wazuh存儲庫添加到您的服務器。或者,如果您希望直接下載wazuh-agent軟件包,可以在此處找到它。
- 要執行此過程中,curl,apt-transport-https和lsb-release軟件包必須安裝在系統上。如果它們沒有被安裝,請使用以下命令安裝它們:
# apt-get install curl apt-transport-https lsb-release2.安裝Wazuh存儲庫GPG密鑰
# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -3.添加存儲庫:
# echo "deb https://packages.wazuh.com/3.x/apt/ stable main" | tee /etc/apt/sources.list.d/wazuh.list4.更新包
# apt-get update
安裝Wazuh agent
- 在您的終端上,安裝Wazuh agent
# apt-get install wazuh-agent2.(可選)禁用Wazuh更新:
建議禁用Wazuh存儲庫以防止意外升級。為此,請使用以下命令:
# sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/wazuh.list # apt-get update或者,您可以將程序包狀態設置為hold,這將停止更新(盡管您仍然可以手動升級它)
# echo "wazuh-agent hold" | sudo dpkg --set-selections
在Windows上安裝Wazuh agent
注意:您將需要管理員權限才能執行此安裝
在Windows計算機上安裝Wazuh agent的第一步是從軟件包列表中下載Windows安裝程序。下載完成后,可以使用以下兩種方法之一安裝Windows代理:
使用GUI
要從GUI安裝Windows agent,請運行下載的文件,然后按照安裝向導中的步驟操作。如果您不確定如何選擇,只需使用默認選項安裝即可。
安裝后,agent 會使用圖形用戶界面進行配置,打開日志文件或啟動和停止服務。
默認情況下,所有agent的配置文件將在:C:\Program Files(x86)\ossec-agent
注意:現在已安裝agent程序,下一步是注冊並配置它以與mangent通信。有關此過程的更多信息,請訪問用戶手冊。
使用命令
注意:必須使用管理員權限運行進行自動安裝
要從命令中安裝Windows agent,請使用以下命令運行安裝程序(該/q參數用與無人參與安裝):
wazuh-agent-3.8.2-1.msi /q
要卸載 agent,將需要原始MSI文件來執行自動卸載
msiexec.exe /x wazuh-agent-3.8.2-1.msi /qn
您可以使用以下參數來自動安裝authd注冊agent:
| 選項 | 描述 |
|---|---|
| APPLICATIONFOLDER | 設置安裝路徑。默認C:\Program Files (x86)\ossec-agent. |
| ADDRESS | 指定管理器IP地址或主機名。此選項還接受以分號分隔的IP或主機名列表。 |
| SERVER_PORT | 指定管理器連接端口。 |
| PROTOCOL | 設置管理器和代理之間的通信協議。接受UDP和TCP。默認為UDP。 |
| AUTHD_SERVER | 指定Authd IP地址。 |
| AUTHD_PORT | 指定Authd連接端口。 |
| PASSWORD | 設置Authd密碼。 |
| NOTIFY_TIME | 設置管理器檢查與agent 之間連接的時間。 |
| TIME_RECONNECT | 設置重新連接嘗試之前的時間(以秒為單位)。 |
| CERTIFICATE | 指定授權路徑證書。 |
| PEM | 指定證書路徑。 |
| KEY | 指定密鑰路徑。 |
| AGENT_NAME | 指定代理的名稱。默認情況下將是計算機名稱。 |
| GROUP | 將指定的組分配給代理。 |
| / l installer.log | 生成安裝過程的日志。 |
| / l * v installer.log | 生成安裝過程的日志,包括詳細消息。 |
下面是一些安裝和注冊Windows agent 的示例
使用帶密碼注冊:
wazuh-agent-3.8.2-1.msi /q ADDRESS="192.168.1.1" AUTHD_SERVER="192.168.1.1" PASSWORD="TopSecret" AGENT_NAME="W2012"
使用帶密碼注冊並分配組:
azuh-agent-3.8.2-1.msi /q ADDRESS="192.168.1.1" AUTHD_SERVER="192.168.1.1" PASSWORD="TopSecret" GROUP="my-group"
使用帶CA注冊的相對路徑。它將在您的APPLICATIONFOLDER文件夾中搜索:
wazuh-agent-3.8.2-1.msi /q ADDRESS="192.168.1.1" AUTHD_SERVER="192.168.1.1" AGENT_NAME="W2019" CERTIFICATE="rootCA.pem"
包含空格的CA,證書或密鑰的絕對路徑可以寫成如下所示:
wazuh-agent-3.8.2-1.msi /q ADDRESS="192.168.1.1" AUTHD_SERVER="192.168.1.1" KEY="C:\Progra~2\sslagent.key" PEM="C:\Progra~2\sslagent.cert"
數字“2”表示將在第二次出現“Progra”時搜索文件,因此,將在文件夾“C:\Program Files (x86)””中搜索密鑰和證書。如果此數字為“1”,則將在“Program Files”中搜索。
注意:要通過SSL驗證agent,必須同時使用KEY和PEM選項。請參閱帶SSL的驗證主機部分。
使用帶協議注冊
wazuh-agent-3.8.2-1.msi /q ADDRESS="192.168.1.1" AUTHD_SERVER="192.168.1.1" AGENT_NAME="W2016" PROTOCOL="TCP"
注意:在早於Windows Server 2008或Windows 7的Windows版本中,在Wazuh管理器上ossec-authd必須使用-a標志運行程序,或者在auth配置上設置<ssl_auto_negotiate>選項以避免兼容性錯誤。
可選配置
本節為與建立高效,穩定和安全的Wazuh環境相關的最佳實踐提供指導。在這里,您將找到有關如何在分布式體系結構中設置SSL通信的信息(Wazuh服務器與Elastic Stack集群通信),如何使用Nginx為Kibana設置安全 agent 以及如何向Web用戶添加身份驗證接口。
內容
為Filebeat和Logstash設置SSL
如果您在單獨的系統和服務器(分布式體系結構)上運行Wazuh服務器和Elastic Stack ,則在Filebeat和Logstash之間配置SSL加密非常重要。(這不適用於單服務器體系結構)
注意:下面的許多命令都需要以root用戶權限執行
生成自簽名SSL證書
-
生成SSL證書和密鑰,如下所示:
在安裝了Logstash服務器的計算機上,創建OpenSSL示例配置文件的副本。文件位置可能因操作系統而異:
-
在Debian或Ubuntu上:
# cp /etc/ssl/openssl.cnf custom_openssl.cnf -
在CentOS或Red Hat上:
# cp /etc/pki/tls/openssl.cnf custom_openssl.cnf
-
注意:通常,您將在Elastic Stack服務器中運行Logstash服務器,或者,如果已在其中一個節點中設置了分布式Elasticsearch集群,則運行Logstash服務器。
2.編輯自定義配置文件
custom_openssl.cnf:找到該部分並添加如下所示的命令行,其中包含您的Elastic服務器的IP地址:
[ v3_ca ] subjectAltName = IP: YOUR_SERVER_IP 例如: [ v3_ca ] subjectAltName = IP: 192.168.1.2 3.生成SSL證書和密鑰:
# openssl req -x509 -batch -nodes -days 365 -newkey rsa:2048 -keyout /etc/logstash/logstash.key -out /etc/logstash/logstash.crt -config custom_openssl.cnf4.您可以刪除自定義配置文件:# rm custom_openssl.cnf
配置Logstash服務器
新生成的SSL證書和密鑰分別位於/etc/logstash/logstash.crt和/etc/logstash/logstash.key。接下來,配置Logstash以使用此新密鑰與Filebeat進行通信。
-
編輯文件
/etc/logstash/conf.d/01-wazuh.conf並取消注釋與SSL相關的行。現在輸入以下命令:input { beats { port => 5000 codec => "json_lines" ssl => true ssl_certificate => "/etc/logstash/logstash.crt" ssl_key => "/etc/logstash/logstash.key" } }
-
重新啟動Logstash。該命令取決於OS init系統:
-
for Systemd:
# systemctl restart logstash.service -
for SysV Init:
# service logstash restart
-
配置Filebeat
配置Filebeat以驗證Logstash服務器的證書。
-
在安裝了Filebeat 的計算機(Wazuh服務器)上,獲取Logstash服務器的SSL證書文件
/etc/logstash/logstash.crt並將其復制到/etc/filebeat/logstash.crt。下面是一個示例,可用於將SSL證書從Logstash服務器復制到安裝了Filebeat的Wazuh服務器:
# scp root@LOGSTASH_SERVER_IP:/etc/logstash/logstash.crt /etc/filebeat -
編輯文件
/etc/filebeat/filebeat.yml,並取消注釋與SSL內部相關的行,如下所示:output: logstash: hosts: ["192.168.1.2:5000"] ssl: certificate_authorities: ["/etc/filebeat/logstash.crt"]
-
重新啟動Filebeat。該命令取決於OS init系統:
注意:有關更多詳細信息,請參閱 Elastic的“ 與Logstash保護通信”指南。
為Kibana設置SSL和身份驗證
默認情況下,Kibana(包括Wazuh應用程序)與最終用戶系統上的Web瀏覽器之間的通信未加密。強烈建議將Kibana配置為使用SSL加密並啟用身份驗證。在本節中,我們將介紹如何使用NGINX設置完成此操作。
NGINX是一種流行的開源Web服務器和反向代理,以其高性能,穩定性,豐富的功能集,簡單的配置和低資源消耗而着稱。在此示例中,我們將其用作反向代理,以向最終用戶提供對Kibana的加密和經過身份驗證的訪問。
注意:下面的許多命令都需要以root用戶權限執行。Kibana Web界面的默認端口是5601。本案例將使80和443端口可用於HTTP / HTTPS訪問。
用於Kibana的NGINX SSL代理(基於RPM的發行版)
- 安裝NGINX:
# cat > /etc/yum.repos.d/nginx.repo <<\EOF [nginx] name=nginx repo baseurl=http://nginx.org/packages/centos/$releasever/$basearch/ gpgcheck=0 enabled=1 EOF # yum install nginb.對於RHEL:# cat > /etc/yum.repos.d/nginx.repo <<\EOF [nginx] name=nginx repo baseurl=http://nginx.org/packages/rhel/$releasever/$basearch/ gpgcheck=0 enabled=1 EOF # yum install nginx注意:有關更多信息,請參閱NGINX:官方Red Hat / CentOS軟件包。
2.安裝SSL證書和私鑰:
a.如果您擁有有效的簽名證書,請將密鑰文件<ssl_key>和證書文件復制到適當的位置:
# MKDIR -p的/ etc / PKI / TLS /證書的/ etc / PKI / TLS /私人 # CP <ssl_pem> /etc/pki/tls/certs/kibana-access.pem # CP <ssl_key>的/ etc / PKI / TLS /private/kibana-access.keyb.如果您沒有有效的簽名證書,請按如下方式創建自簽名證書。請記住將字段設置為您的服務器名稱。例如,如果您的服務器是,您將執行以下操作:# mkdir -p /etc/pki/tls/certs /etc/pki/tls/private # openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/kibana-access.key -out /etc/pki/tls/certs/kibana-access.pem Generating a 2048 bit RSA private key ...........+++ ................+++ writing new private key to '/etc/pki/tls/private/kibana-access.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: US State or Province Name (full name) [Some-State]: California Locality Name (eg, city) []: San Jose Organization Name (eg, company) [Internet Widgits Pty Ltd]: Example Inc. Organizational Unit Name (eg, section) []: section Common Name (e.g. server FQDN or YOUR name) []: example.com Email Address []: example@mail.com3.將NGINX配置為Kibana的HTTPS反向代理:
# cat > /etc/nginx/conf.d/default.conf <<\EOF server { listen 80; listen [::]:80; return 301 https://$host$request_uri; } server { listen 443 default_server; listen [::]:443; ssl on; ssl_certificate /etc/pki/tls/certs/kibana-access.pem; ssl_certificate_key /etc/pki/tls/private/kibana-access.key; access_log /var/log/nginx/nginx.access.log; error_log /var/log/nginx/nginx.error.log; location / { auth_basic "Restricted"; auth_basic_user_file /etc/nginx/conf.d/kibana.htpasswd; proxy_pass http://kibana-server-ip:5601/; } } EOF注意:我們配置Nginx以封裝Kibana服務器的IP地址。此配置允許將Kibana請求重定向到HTTPS。使用此配置時,建議編輯文件/etc/kibana/kibana.yml以將字段設置server.host為localhost。必須重新啟動Kibana服務才能應用此更改。
4.如果正在使用SELinux,則允許NGINX連接到Kibana端口:
# semanage port -a -t http_port_t -p tcp 5601注意:這假設您已安裝policycoreutils-python來管理SELinux。
通過htpasswd啟用身份驗證
- 安裝httpd-tools包
# yum install httpd-tools2.生成.htpasswd文件,確保替換wazuh為您選擇的用戶名,與auth_basic_user_file匹配:
# htpasswd -c /etc/nginx/conf.d/kibana.htpasswd wazuh3.重啟NGINX:a.for Systemd:
# systemctl restart nginxb. for SysV Init:# service nginx restart
現在,通過HTTPS訪問Kibana Web界面。它將提示您輸入在上述步驟中創建的用戶名和密碼。
警告:如果您遇到權限問題或獲得502代碼錯誤,請嘗試執行以下命令:
setsebool -P httpd_can_network_connect 1
用於Kibana的NGINX SSL代理(基於Debian的發行版)
- 安裝NGINX:
# apt-get install nginx2.安裝SSL證書和私鑰:a.如果您擁有有效的簽名證書,請將密鑰文件<ssl_key>和證書文件復制<ssl_pem>到適當的位置:# mkdir -p /etc/ssl/certs /etc/ssl/private # cp <ssl_pem> /etc/ssl/certs/kibana-access.pem # cp <ssl_key> /etc/ssl/private/kibana-access.keyb.如果您沒有有效的簽名證書,請按如下方式創建自簽名證書:
# mkdir -p /etc/ssl/certs /etc/ssl/private # openssl req -x509 -batch -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/kibana-access.key -out /etc/ssl/certs/kibana-access.pem Generating a 2048 bit RSA private key .............+++ ..+++ writing new private key to '/etc/ssl/private/kibana-access.key' -----3.將NGINX配置為Kibana的HTTPS反向代理:
# cat > /etc/nginx/sites-available/default <<\EOF server { listen 80; listen [::]:80; return 301 https://$host$request_uri; } server { listen 443 default_server; listen [::]:443; ssl on; ssl_certificate /etc/ssl/certs/kibana-access.pem; ssl_certificate_key /etc/ssl/private/kibana-access.key; access_log /var/log/nginx/nginx.access.log; error_log /var/log/nginx/nginx.error.log; location / { auth_basic "Restricted"; auth_basic_user_file /etc/nginx/conf.d/kibana.htpasswd; proxy_pass http://kibana-server-ip:5601/; } } EOF注意:我們配置Nginx以封裝Kibana服務器的IP地址。此配置允許將Kibana請求重定向到HTTPS。使用此配置時,建議編輯文件/etc/kibana/kibana.yml以將字段設置server.host為localhost。必須重新啟動Kibana服務才能應用此更改。
通過htpasswd啟用身份驗證
- 安裝apache2-utils包:
# apt-get install apache2-utils2.使用您選擇的用戶名生成.htpasswd替換<user>下面的文件:
# htpasswd -c /etc/nginx/conf.d/kibana.htpasswd <user>3.重啟NGINX:a.For Systemd:# systemctl restart nginxb.For SysV Init:# service nginx restart
現在,通過HTTPS訪問Kibana Web界面。它將提示您輸入在上述步驟中創建的用戶名和密碼。
保護Wazuh API
默認情況下,Wazuh Kibana App和Wazuh API之間的通信未加密。強烈建議您按照以下步驟保護Wazuh API:
- 更改默認憑據:
默認情況下,您可以通過鍵入用戶“foo”和密碼“bar”來訪問Wazuh API,但是,您可以按如下方式創建新憑據:
# cd /var/ossec/api/configuration/auth # node htpasswd -c user myUserName
然后,您需要重新啟動wazuh-api和wazuh-manager服務才能使更改生效。
2.啟用HTTPS:
要啟用HTTPS,您需要生成或提供證書。您可以學習如何生成自己的證書或使用腳本自動生成證書:/var/ossec/api/scripts/configure_api.sh3.綁定到localhost:
如果您不需要從外部訪問API,則應將API綁定到 localhost 使用配置文件/var/ossec/api/configuration/config.js中 的選項的config.host 。
Elasticsearch調整
本指南總結了允許優化Elasticsearch的相關配置。
當系統交換內存時,Elasticsearch的性能很差。對於節點的運行狀況而言,任何JVM都不會交互到磁盤是至關重要的。
在本示例中,我們將展示如何將bootstrap.memory_lock設置為true,以便Elasticsearch將進程地址空間鎖定到RAM中。這可以防止任何Elasticsearch內存被溢出。
- 設置bootstrap.memory_lock
取消注釋或將此行添加到文件中/etc/elasticsearch/elasticsearch.yml:
bootstrap.memory_lock: true
2.編輯系統資源的限制
配置系統設置的位置取決於您選擇用於Elasticsearch安裝的軟件包和操作系統。
- 在使用systemd的情況下,需要通過systemd指定系統限制。為此,請創建執行命令的文件夾:
# mkdir -p /etc/systemd/system/elasticsearch.service.d/
然后,在新目錄中,添加一個名為elasticsearch.conf文件,並指定該文件中的設置
[Service] LimitMEMLOCK=infinity
在其他情況下,編輯/etc/sysconfig/elasticsearch(RPM)或/etc/default/elasticsearch(Debian )並正確設置:
MAX_LOCKED_MEMORY=unlimited
3.Limit memory
如果Elasticsearch嘗試分配的內存超過可用內存,則先前的配置可能會導致節點不穩定甚至節點掛掉。JVM堆限制將有助於限制內存使用並防止出現這種情況。
設置Elasticsearch內存大小時,有兩個規則適用:
- 使用不超過可用RAM的50%。
- 使用不超過32 GB。
此外,重要的是要考慮主機上運行的操作系統,服務和軟件的內存使用情況。
默認情況下,Elasticsearch配置有1 GB的內存。您可以使用以下/etc/elasticsearch/jvm.options文件通過JVM標志更改內存大小:
# Xms represents the initial size of total heap space # Xmx represents the maximum size of total heap space -Xms4g -Xmx4g
警告:確保min(Xms)和max(Xmx)大小相同,以防止JVM內存在運行時調整大小,因為這是一個非常重要的過程。
4.重啟Elasticsearch
最后,重啟Elasticsearch服務:
a.for Systemd:
# systemctl daemon-reload # systemctl restart elasticsearchb.for SysV Init:# service elasticsearch restart
啟動Elasticsearch后,您可以通過檢查mlockall下一個請求的輸出中的值來查看是否已成功應用此設置:
# curl "http://localhost:9200/_nodes?filter_path=**.mlockall&pretty"
{ "nodes" : { "sRuGbIQRRfC54wzwIHjJWQ" : { "process" : { "mlockall" : true } } } }
如果該"mlockall"字段的輸出為false,則請求失敗。您還會在日志(位於)中找到無法鎖定JVM內存的行/var/log/elasticsearch/elasticsearch.log。
參考:
Search Guard
Search Guard可用於通過使用不同的行業標准身份驗證技術來保護您的Elasticsearch集群,例如Kerberos,LDAP/Active Directory,JSON Web令牌,TLS證書和代理身份驗證 SSO。
無論您使用何種身份驗證方法,基本流程如下:
-
用戶想要訪問Elasticsearch集群,例如通過發出簡單查詢。
-
Search Guard從請求中檢索用戶的憑據
- 如何檢索憑據取決於身份驗證方法。例如,可以從HTTP基本身份驗證頭,JSON Web令牌或Kerberos票證中提取它們。
-
Search Guard根據配置的身份驗證后端對憑據進行身份驗證。
-
Search Guard通過從配置的授權后端檢索用戶角色的列表來授權用戶
- 從授權后端檢索的角色稱為后端角色。
- 例如,可以從LDAP / AD,JSON Web令牌或Search Guard內部用戶數據庫中獲取角色。
-
Search Guard將用戶和后端角色映射到Search Guard角色。
-
Search Guard確定與Search Guard角色關聯的權限,並決定是否允許用戶執行的操作。
-
如果您使用的是文檔和字段級安全性,則還可以根據文檔和單個字段應用精細化的權限。
為Logstash設置Search Guard
我們的默認配置不使用Logstash的身份驗證,因此我們需要正確配置它。編輯Logstash配置文件(位於/etc/logstash/conf.d/01-wazuh.conf):
1.停止Logstash服務:
# systemctl stop logstash
2.查找輸出部分並將其替換為以下內容:
output {
elasticsearch {
hosts => ["ELASTICSEARCH_HOST:9200"]
index => "wazuh-alerts-3.x-%{+YYYY.MM.dd}"
document_type => "wazuh"
user => logstash
password => logstash
ssl => true
ssl_certificate_verification => false
}
}
3.重新啟動Logstash。
# systemctl restart logstash
警告:必須對所有Logstash配置應用此配置,替換特定字段(如主機或索引),具體取決於您的Logstash位置和要求。
為Elasticsearch設置Search Guard
目前,不支持同時使用X-Pack安全性。如果您的環境當前正在使用X-Pack安全功能,則必須先將其禁用,然后再繼續閱讀本示例:
對於Elasticsearch,您需要在所有節點中編輯文件/etc/elasticsearch/elasticsearch.yml,並添加以下命令:
xpack.security.enabled: false
現在重啟Elasticsearch服務:
# systemctl restart elasticsearch
Search Guard必須與 Elastic stack中的任何其他組件一樣適合Elasticsearch版本。Search Guard的版本控制略有不同,請在Search Guard版本中查看您的版本。
Search Guard的版本控制語法如下:
com.floragunn:search-guard-6:<elastic_version>-<searchguard_version>
本文檔是為我們最新支持的版本設計的,它是6.5.4,所以我們的正確的版本設置:
com.floragunn:search-guard-6:6.5.4-24.0
由於Search Guard是一個插件,我們必須像其他Elasticsearch插件安裝它:
sudo -u elasticsearch \ /usr/share/elasticsearch/bin/elasticsearch-plugin install \ -b com.floragunn:search-guard-6:6.5.4-24.0
Search Guard附帶一個演示配置,它作為新手很有用,所以讓我們安裝演示配置:
$ cd /usr/share/elasticsearch/plugins/search-guard-6/tools/ $ chmod a+x install_demo_configuration.sh # ./install_demo_configuration.sh Install demo certificates? [y/N] y Initialize Search Guard? [y/N] y Enable cluster mode? [y/N] y
重啟Elasticsearch服務:
# systemctl restart elasticsearch
您可以使用下一個請求檢查它是否按預期執行(Search Guard需要大約兩分鍾來創建其內部索引,因此請耐心等待):
$ curl -k -u admin:admin https://<ELASTICSEARCH_HOST>:9200/_searchguard/authinfo?pretty
{
"user" : "User [name=admin, roles=[admin], requestedTenant=null]",
"user_name" : "admin",
"user_requested_tenant" : null,
"remote_address" : "10.0.0.4:46378",
"backend_roles" : [
"admin"
],
"custom_attribute_names" : [
"attr.internal.attribute1",
"attr.internal.attribute2",
"attr.internal.attribute3"
],
"sg_roles" : [
"sg_all_access",
"sg_own_index"
],
"sg_tenants" : {
"admin_tenant" : true,
"admin" : true
},
"principal" : null,
"peer_certificates" : "0",
"sso_logout_url" : null
}
設置Search Guard角色
Search Guard使用核心角色。Search Guard用戶角色使用核心角色。最后,Search Guard用戶使用用戶角色。
-
- 角色文件
-
- /usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_roles.yml
- Search Guard在引擎下使用核心角色
-
- 角色映射
-
- /usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_roles_mapping.yml
- Search Guard用戶使用的角色。這些角色可以組合多個核心角色。
-
- 內部用戶
-
- /usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_internal_users.yml
- 這些是所有組件將使用的用戶。每個組件使用具有自己角色的不同用戶。
Logstash角色
Logstash有自己的預定義用戶和自己的預定義角色。由於Wazuh使用wazuh-alerts-3.x- *前綴創建自定義Elasticsearch索引,因此必須將該索引前綴添加到Logstash角色。
- 編輯Logstash角色,位於/usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_roles.yml
sg_logstash:
cluster:
- CLUSTER_MONITOR
- CLUSTER_COMPOSITE_OPS
- indices:admin/template/get
- indices:admin/template/put
indices:
'logstash-*':
'*':
- CRUD
- CREATE_INDEX
'*beat*':
'*':
- CRUD
- CREATE_INDEX
'wazuh-alerts-3?x-*':
'*':
- CRUD
- CREATE_INDEX
注意:用於Search Guard角色的點被替換,3?x實際上意思是3.x
2.應用更改:
# /usr/share/elasticsearch/plugins/search-guard-6/tools/sgadmin.sh \ -cd /usr/share/elasticsearch/plugins/search-guard-6/sgconfig -icl -key \ /etc/elasticsearch/kirk-key.pem -cert /etc/elasticsearch/kirk.pem -cacert \ /etc/elasticsearch/root-ca.pem -h <ELASTICSEARCH_HOST> -nhnv
警告:在生產環境中,不建議使用-nhnv標識,因為它忽略了證書問題。
3.重新啟動Elasticsearch和Logstash服務:
# systemctl restart elasticsearch # systemctl restart logstash
此時,您可以使用user:password 身份驗證和加密通信來保護您的Elasticsearch集群。這意味着必須對指向某個Elasticsearch節點的任何Logstash進行身份驗證。此外,對Elasticsearch API的任何請求都必須使用https plus user:password 身份驗證。
為Kibana設置Search Guard
目前,不支持同時使用X-Pack安全性。如果您的環境當前正在使用任何X-Pack安全功能,則必須先將其禁用,然后再繼續閱讀本示例。
對於Kibana,您需要編輯文件/etc/kibana/kibana.yml並添加以下行:
xpack.security.enabled:false
現在重啟Kibana服務:
# systemctl restart kibana
Kibana也需要Search Guard插件。插件版本控制就像Elasticsearch插件版本一樣,這意味着你必須完全適合你的Kibana版本。
- 像其他安裝組件一樣安裝:
$ sudo -u kibana NODE_OPTIONS="--max-old-space-size=3072" /usr/share/kibana/bin/kibana-plugin install https://search.maven.org/remotecontent?filepath=com/floragunn/search-guard-kibana-plugin/6.5.4-17/search-guard-kibana-plugin-6.5.4-17.zip
2. 編輯Kibana配置文件,它位於/etc/kibana/kibana.yml,添加以下行:
# Elasticsearch URL elasticsearch.url: "https://<ELASTICSEARCH_HOST>:9200" # Credentials elasticsearch.username: "admin" elasticsearch.password: "admin" # Disable SSL verification because we use self-signed demo certificates elasticsearch.ssl.verificationMode: none # Whitelist the Search Guard Multi Tenancy Header elasticsearch.requestHeadersWhitelist: [ "Authorization" , "sgtenant" ]
現在,您可以像往常一樣訪問Kibana UI,它將提示您登錄,您可以使用現有的admin的用戶訪問它。
接下來的步驟我們將學習如何定義新的Kibana UI用戶以及如何根據他們的需要為所有用戶定義特定角色。
有關詳細信息,請參閱Kibana Search Guard插件。
Kibana UI和Wazuh應用程序
Wazuh應用程序需要管理.wazuh和.wazuh-version索引才能正常工作。服務器端使用索引.wazuh-version。
警告:只需從Elasticsearch集群中的一個主節點執行
Wazuh app用戶
1.在/usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_roles.yml中創建新的Search Guard核心角色
sg_wazuh_admin:
cluster:
- indices:data/read/mget
- indices:data/read/msearch
- indices:data/read/search
- indices:data/read/field_caps
- CLUSTER_COMPOSITE_OPS
indices:
'?kiban*':
'*':
- MANAGE
- INDEX
- READ
- DELETE
'?wazuh':
'*':
- MANAGE
- INDEX
- READ
- DELETE
'?wazuh-version':
'*':
- MANAGE
- INDEX
- READ
- DELETE
'wazuh-alerts-3?x-*':
'*':
- indices:admin/mappings/fields/get
- indices:admin/validate/query
- indices:data/read/search
- indices:data/read/msearch
- indices:data/read/field_stats
- indices:data/read/field_caps
- READ
- SEARCH
'wazuh-monitoring*':
'*':
- indices:admin/mappings/fields/get
- indices:admin/validate/query
- indices:data/read/search
- indices:data/read/msearch
- indices:data/read/field_stats
- indices:data/read/field_caps
- READ
- SEARCH
2.為您的密碼創建哈希
bash /usr/share/elasticsearch/plugins/search-guard-6/tools/hash.sh -p yourpassword
3.使用步驟2中的哈希在/usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_internal_users.yml中創建新用戶。
wazuhadmin:
hash: $2a$12$VcCDgh2NDk07JGN0rjGbM.Ad41qVR/YFJcgHp0UGns5JDymv..TOG
roles:
- wazuhadmin_role
3.在/usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_roles_mapping.yml中設置Search Guard角色的角色映射
sg_wazuh_admin:
backendroles:
- wazuhadmin_role
4.應用更改:
# /usr/share/elasticsearch/plugins/search-guard-6/tools/sgadmin.sh \ -cd /usr/share/elasticsearch/plugins/search-guard-6/sgconfig -icl -key \ /etc/elasticsearch/kirk-key.pem -cert /etc/elasticsearch/kirk.pem -cacert \ /etc/elasticsearch/root-ca.pem -h <ELASTICSEARCH_HOST> -nhnv
Kibana簡要總結
現在你有兩個Kibana用戶:
- Kibana服務器使用Search Guard中預定義的管理員用戶(/etc/kibana/kibana.yml)。
- Kibana UI wazuhadmin用戶可以看到所有並修改.wazuh索引。
它是如何進入Wazuh應用程序?
主要區別在於您現在必須在進入Kibana之前登錄。另請注意,如果不允許用戶使用某些索引,則不能在Kibana上使用它們。
自動插入Wazuh API
如果您想更快地在我們的某個應用程序上添加Wazuh API憑據,您可以執行以下命令之一,具體取決於您使用的應用程序:
Kibana應用程序
# curl -X POST "http://<ELASTICSEARCH_IP>:9200/.wazuh/wazuh-configuration/1513629884013" -H 'Content-Type: application/json' -d'
{
"api_user": "<WAZUH_API_USERNAME>",
"api_password": "<WAZUH_API_PASSWORD>",
"url": "<WAZUH_API_URL>",
"api_port": "<WAZUH_API_PORT>",
"insecure": "true",
"component": "API",
"cluster_info" : {
"manager" : "<WAZUH_MANAGER_HOSTNAME>",
"cluster" : "<WAZUH_MANAGER_CLUSTER_NAME>",
"status" : "<WAZUH_MANAGER_CLUSTER_STATUS>"
},
"extensions" : {
"audit" : true,
"pci" : true,
"gdpr" : true,
"oscap" : true,
"ciscat" : false,
"aws" : false,
"virustotal" : false,
"osquery" : false
}
請注意以下事項:
- <ELASTICSEARCH_IP>是Elasticsearch主機的URL 。
- cURL命令(1513629884013)上使用的數字是一個隨機數,用於將Wazuh API條目標識為唯一。如果要添加更多API,則必須使用其他編號。
- <WAZUH_API_USERNAME>和<WAZUH_API_PASSWORD>表示要存儲在應用程序中的Wazuh API憑據。
- API密碼必須以base64格式存儲。使用將以正確的格式返回密碼以供使用:echo -n '<WAZUH_API_PASSWORD>' | base64
- <WAZUH_API_URL>和<WAZUH_API_PORT>是Wazuh API 的完整IP地址和端口。URL必須包含http://或https://,具體取決於當前配置。
- <WAZUH_MANAGER_HOSTNAME>是安裝Wazuh管理器的實例的主機名。您只需在管理器主機上運行該命令即可獲取此信息。
- <WAZUH_MANAGER_CLUSTER_NAME>是Wazuh集群的名稱。它是在文件ossec.conf上配置的。如果您沒有使用Wazuh群集,請使用Disabled。
- <WAZUH_MANAGER_CLUSTER_STATUS>是Wazuh集群的狀態。使用enabled或disabled取決於您的配置。
Splunk app
# curl -X POST "http://<SPLUNK_IP>:<SPLUNK_PORT>/en-US/custom/SplunkAppForWazuh/manager/add_api?url=<WAZUH_API_URL>&portapi=<WAZUH_API_PORT>&userapi=<WAZUH_API_USERNAME>&passapi=<WAZUH_API_PASSWORD>"
- <SPLUNK_IP>是安裝應用程序的Splunk實例的主機名或IP地址。
- <SPLUNK_PORT>是安裝應用程序的Splunk實例的端口。默認情況下,它是8000。
- <WAZUH_API_URL>,<WAZUH_API_PORT>,<WAZUH_API_USERNAME>和<WAZUH_API_PASSWORD>代表Wazuh API憑證存儲上的應用程序。請記住,Wazuh API URL必須包含http://或https://,具體取決於當前配置
安裝包列表:
manage,agent以及API
| 操作系統 | 版本 | 系統位數 | 包 | SHA512校驗和 | MD5校驗和 |
|---|---|---|---|---|---|
| 基於Debian | 3.8.2 | 32位 | wazuh-agent_3.8.2-1_i386.deb | 45fd4bf6210c21a9eb183ac6c9845ef380eb2da8c7a6c64c065866c0430036f01c8eb41c1caad7afc7a17d2016a2023c9415afa845b311d3144497b6a78dee23 | d514d81444da3bb1a1310cc073daf57a |
| wazuh-manager_3.8.2-1_i386.deb | 6339a1fd455f7fdc982899cdae39974528379c8d68689f3959fb5a76bea244940f136fd5c858678ea7f1722d17f22dfcf8b039c4766230bb61f4f7ab1c4b817e | 475685576e13a04a862e64f4b8ef678f | |||
| 64位 | wazuh-agent_3.8.2-1_amd64.deb | 8328534c96c12d2df29a37c120200a0bce7de1142d5b1706cb767d541d87de0e6777a08cda9d3a010c26032e72d7255fb12ff486b4dbf48782776537deb9b455 | 7a800037ed34070fe84b6b9fd1aa85f4 | ||
| wazuh-manager_3.8.2-1_amd64.deb | 5f44124d3fcbf8f89a8f056f1f0837a1684ad86c2f81281044aa0cf653d429f932574a24a916f2e75c1f998109d8730c497ec4823f6021eb5ec1ac6a5098a644 | 11d0fca5514f33d0a5292aa5769c4453 | |||
| wazuh-api_3.8.2-1_amd64.deb | 83dc3e6c71cb670b0b2c4883941152df8b6e93729830106c6f91bef47601663f238508db4f3146c61d074a586fe4f50cf6c5baf1ec2b98b42c46110cfb2be634 | a6a5a2f4b7d679e02f1b26e3ba929fb7 | |||
| 基於RPM | 3.8.2 | 32位 | wazuh-agent-3.8.2-1.i386.rpm | d2f1b7c622f12f7da682f14453f04d346df3f77b740f204b5638b736cb9bb48ebf28c502d6e705f76f39b170b65241706220a3cb08ca315244658f9e10a7f09f | c711eceea1963aa783f349d3dad6ae93 |
| wazuh-manger-3.8.2-1.i386.rpm | 4d90284fad80431b47393d954d2ca5575a426753abc2f5e6e698d551ba248823fcbe6f0760e982fa6dabafe59d77b8c0d78fe952e34cebb16654869b5b923a57 | 928cca5405556858798fbb0cd3bcc6be | |||
| 64位 | wazuh-agent-3.8.2-1.x86_64.rpm | 3db04f90da1701a7ff92a12e0472d78c70d2e9d9d96f075f1c2aff62a80d094acfada805b1a9edd8ac10e8eb2577470b0165171451e7a76bc44902f4b30d5b14 | d97f9ded99047f9c2afbe058f72aaf89 | ||
| wazuh-manager,3.8.2-1.x86_64.rpm | 9d59fbf7a058df01e275b810f2741551283e379b36618348b1da931d46a0ef35085fa36167d772d94de8aad40715702a91e2ef0ad04917601131963d78716655 | 92d64e9edbcddf75f570bdb732ea1e18 | |||
| wazuh-API 3.8.2-1.x86_64.rpm | b2d9ea714cd7f98458a33508f7b1014cf3b447f1ab532481d4a1ae70f6bcd31a3f1647b03949058dec2892ec8061c1ce81895a3a34c607403c06d61abe2c540f | 7a9fa1664a7fdceb0f84c6152cfbc518 | |||
| CentOS 5 RedHat 5 SUSE 11 |
3.8.2 | 32位 | wazuh-agent-3.8.2-1.el5.i386.rpm | 0ce0cc21542388fb39421a0cb1dab8b42c7d2bb1b6afead90281bddecfadc5761f24f6805fce09c0b16a50180b6921ddb535335e3189f28b00f90060a7e322b8 | 32b575cde448e1747fb0a350bd6786bb |
| wazuh-manger,3.8.2-1.el5.i386.rpm | 1504c72235aebffe29ccfddc3a5f8588e66237ac6bbc47070f50ce2778136b06e8ec3aac5e3cfe9da9d90cf34b8118abecf8c2a182b4a7c6d2139737c7293d67 | d737aab2d84ebb5d0cd9ce4d447a3aeb | |||
| 64位 | wazuh-agent-3.8.2-1.el5.x86_64.rpm | 131a69e9e4bc3a59d51d3382db58002b997cfad02da774cb34aaf577c20c031b4f57301b38b36f916bc6991e6f6acc66b58855b0a3746b4d3c2fb229cf29f9f8 | 769cc8a89088109b1e491ffdcb0dbf05 | ||
| wazuh-manager,3.8.2-1.el5.x86_64.rpm | a15c12be503be01b977d12b9b679ca834e54b19bc7615ef82b95de4267211c33344abc13ac908f0fae326ad06c86bd02602c05bcb6109c2a28cd6ba83f68c85a | db57dfc16a05a8eec8bbc2c09a6d0613 | |||
| windows | 3.8.2 | 32/64位 | wazuh-agnet-3.8.2-1.msi | 753af161918bc3cc7fc8d3de9fc73103b54cc15453af202955e885d423293182a50e7bf5612adc2c00fdd5656698aaa94aa4618176d138ba93dd46e519dbca17 | dd0b534e98b645eb1e43477b85013580 |
| Mac OS X. | 3.8.2 | 64位 | wazuh-manager-3.8.2-1.pkg | 605bcd645a518321016d33c4c0108152862581882997575b2eb3b1682a6341a807e7f92bc6f4ed483ed608cfd765be6db021a39eb3f91f310223441cadebaf1e | 73bc5e724f16981130f3064a8355b700 |
| HP-UX 11.31 | 3.8.2 | Itanium | wazuh-agent-3.8.2-1-HPUX-11v3-ia64.tar | 26ce466f8c9657289383550d6277ccbffc8eb758456f57cbe8a1fc1260f1cb4cd702edec33633cf53b1d2fca6bf7e7fed3584aa07513039708c20cd2efcdeb28 | 2c8633fb24cbf53b869238a78073f4ad |
| Solaris 10 | 3.8.2 | I386 | wazuh-agent_v3.8.2-SOL10,i386.pkg | a4a2ba591a39a382a9f8723f6b415138f4c44a18bc17956689e1bbbd1cfe2662871cbebc0e52dbee35ca590a2f183f4c93024c1a92c7e5785e5e397deb38b687 | 50c407237f6d5d496365ef30e1411c79 |
| SPARC | wazuh-agent_v3.8.2-SOL10,sparc.pkg | 67d9e915a144de85c9198a76b7b97e0744b1de2cafdf31c872c2c229fd66f5e7d5b62b7a8a7651e766f304142172e9aa021eb80a4201c5b3566d828e59291236 | 00510447e6d9e8d7f5623bd29d356986 | ||
| Solaris 11 | 3.8.2 | I386 | wazuh-agent_v3.8.2-sol11-i386.p5p | 9bc17cb642e590d2d1bfb6a9a3260012ac585507aa6ddb37786e4faa9254a953dca181fdfb574db523b7a915b0fe308ebb3ef9fd69f04c1f3a7e885f04abfc7d | 24aaf35aba94c8191c0b23263559d749 |
| SPARC | wazuh-agent_v3.8.2-sol11-sparc.p5p | c72100439bed144d34e589662e63dced353711df21f2e0a66b4100ad45c71aa2b6e2a5f1dcb86a2895c25ed74e9e12268f3478420440296937a2ede893487076 | 9225474a36629b86181273fbf9cbcbfe | ||
| AIX 5.3或更高版本 | 3.8.2 | LPARs | wazuh-agent-3.8.2-1.aix.ppc.rpm | 3f8da3a0deefb705c1ddad42d2fdb1240cfadd16f62285c4f7092cf327383e66f0314a0137cfb475261007cfd715c35692af9612b3d092e5941ce3de6111c599 | 2ea0dcec1066366873942bb89575af27 |
Kibana和Splunk app
| 產品 | 版本 | Wazuh | 包 | SHA512校驗和 | MD5校驗和 |
|---|---|---|---|---|---|
| Elastic Stack | 6.6.0 | 3.8.2 | wazuhapp-3.8.2_6.6.0.zip | 0df564008cfb328c719a2847d3356dc620024535de65bb7b05204e7041d9037c7a71fff3ca544a00af3283589a2b2a4a74cdebbdb204194861f73a3f097a21ca | 35ab8d3dcd0db78e67e50ecc283cf6b4 |
| Splunk的 | 7.2.3 | 3.8.2 | v3.8.2_7.2.3.tar.gz | 443a16de801ff36170f36886083c6370efb3e10725dae8086e09aa986cd83471ba3f593d2e451a3204caf446201fefb0a4b95de3ede4189621ab9277b350c3e4 | 8cf2be3aa7f64c440e3b64f41547f961 |
虛擬機
| 系統 | 系統位數 | VM格式 | 版本 | 軟件包 | SHA512校驗和 | MD5校驗和 |
|---|---|---|---|---|---|---|
| CentOS 7 | 64位 | OVA | 3.8.2 | wazuh3.8.2_6.5.4 | 89386f5e0a314aef7def25fe6a46f408b014fd112df448a17784684c9ba0a253bcc5caac4e0e7ab3cf3780b8e5b7a8f9682926531cde88b01b6f94bb625160a0 | dc40d69a1634271cc270bc5afd9e9539 |
| OVF | 3.8.2 | wazuh3.8.2_6.5.4-disk1 | a4f85d0fce81ca6020bcc1d8c88de31ec2300ec9ae6f114df225022ecb26ae7208deabe4dfb5ac41f05bc78e22e4d5a8b12311fb3d4b401e8c3fcadfe035e686 | 00b257363d54d9d62a8ce0b4c1f1a61f | ||
| wazuh3.8.2_6.5.4.ovf | 70a283c171dfac191 |
兼容性
Wazuh軟件可以安裝在許多操作系統中,但根據您的需要,某些系統可能不兼容。此外,不同的Wazuh產品之間也有特定的兼容性要求。為了幫助您,請檢查以下兼容性。
操作系統兼容性
manager
下面顯示了Wazuh manger的兼容性表。由於其穩定性和與Wazuh模塊的完全兼容性,建議使用CentOS / RHEL 7作為Wazuh管理器的操作系統。
| 操作系統 | Wazuh版 | ||||||||||
| 3.8.x | 3.7.x | 3.6.x | 3.5.x | 3.4.x | 3.3.x | 3.2.x | 3.1.0 | 3.0.0 | 2.1.1 | 2.1.0 | |
| Debian Wheezy / 7 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Debian Jessie / 8 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Debian Stretch / 9 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ubuntu Precise / 12.04 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ubuntu Trusty / 14.04 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ubuntu Vivid / 15.04 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ubuntu Wily / 15.10 * | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ubuntu Xenial / 16.04 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ubuntu Yakkety / 16.10 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ubuntu Zesty / 17.04 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ |
| Ubuntu Artful / 17.10 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ |
| Ubuntu Bionic / 18.04 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ |
| CentOS 5 / RHEL 5 * | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ | ✓ | ✓ |
| CentOS 6 / RHEL 6 ** | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CentOS 7 / RHEL 7 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Fedora(> = 22) | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
(*)在這些系統中,Wazuh API不可用。
(**)要在CentOS 6中運行群集,請查看在CentOS 6中 運行群集部分
注意:該集群自Wazuh v3.0起可用,並且在CentOS 5 / RHEL 5上不起作用。
agent
在此表中,您可以查看我們支持的操作系統列表,其中可以安裝Wazuh agent
| 操作系統 | Wazuh版 | ||||||||||||||
| 3.8.x | 3.7.x | 3.6.x | 3.5.0 | 3.4.0 | 3.3.1 | 3.3.0 | 3.2.4 | 3.2.3 | 3.2.2 | 3.2.1 | 3.2.0 | 3.1.0 | 3.0.0 | 2.1.x | |
| Debian Wheezy/7 or newer | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ubuntu Precise / 12.04或更新版本 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CentOS 5 / RHEL 5 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CentOS / RHEL 6或更新版本 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Fedora 22或更新版本 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Windows XP 2003或更高版本 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Windows Server 2008或更高版本 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Mac OS X. | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| HP-UX 11.31 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Solaris 10 - i386 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ |
| Solaris 11 - i386 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ |
| Solaris 10 - Sparc | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ |
| Solaris 11 - Sparc | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ |
| AIX 5 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ |
| AIX 6 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ |
| AIX 7 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✓ |
| Suse 11 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ |
| Suse 12 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✓ |
| Amazon Linux | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
產品兼容性
當使用Wazuh軟件的全棧(這意味着,wazuh-manager,wazuh-agent,wazuh-api和wazuh-app),也有為了不同的兼容性要求,使得正常運行。
manager和agent
當agent具有與管manager相同或更舊的版本時,agent和manager之間的兼容性得到保證。
| agent版本 | manger版本 | ||||||||||||||||||
| 3.8.0 | 3.7.2 | 3.7.1 | 3.7.0 | 3.6.1 | 3.6.0 | 3.5.0 | 3.4.0 | 3.3.1 | 3.3.0 | 3.2.4 | 3.2.3 | 3.2.2 | 3.2.1 | 3.2.0 | 3.1.0 | 3.0.0 | 2.1.1 | 2.1.0 | |
| 3.8.0 | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.7.2 | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.7.1 | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.7.0 | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.6.1 | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.6.0 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.5.0 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.4.0 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.3.1 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.3.0 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.2.4 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.2.3 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.2.2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.2.1 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.2.0 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | ✗ |
| 3.1.0 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| 3.0.0 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ | ✗ |
| 2.1.1 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| 2.1.0 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
注意:Wazuh manager也與OSSEC agent兼容,但請記住,並非所有功能都可用。
manger和API
API需要與major.minor manager相同的版本才能兼容。
| API版本 | Manager 版本 | |||||||||
| 3.8.x | 3.7.x | 3.6.x的 | 3.5.x的 | 3.4.x | 3.3.x | 3.2.x中 | 3.1.X | 3.0.x的 | 2.1.x的 | |
| 3.8.x | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.7.x | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.6.x的 | ✗ | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.5.x的 | ✗ | ✗ | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.4.x | ✗ | ✗ | ✗ | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.3.x | ✗ | ✗ | ✗ | ✗ | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ |
| 3.2.x中 | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✓ | ✗ | ✗ | ✗ |
| 3.1.X | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✓ | ✗ | ✗ |
| 3.0.x的 | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✓ | ✗ |
| 2.1.x的 | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✓ |
API和Kibana應用程序
Kibana的Wazuh應用程序需要兼容兩種不同的產品:
- 使用Wazuh API,它需要相同的
major.minor版本。- 使用Elastic Stack,它只與完全相同的版本兼容。
App version Elastic Stack version API version 3.8.x 3.7.x 3.6.x 3.5.x 3.4.x 3.3.x 3.2.x 3.1.x 3.0.x 2.1.1 3.8.x 6.5.4 to 6.6.0 ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ 3.7.x 6.4.2 to 6.5.4* ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ 3.6.x 6.3.2 to 6.4.3* ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ 3.5.x 6.3.2 to 6.4.0* ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ 3.4.x 6.3.1 to 6.3.2* ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ 3.3.x 6.2.4 to 6.3.1* ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ 3.2.x 6.1.0 to 6.2.4* ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ 3.1.x 6.1.0 to 6.1.3* ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ 3.0.x 6.0.0 to 6.1.0* ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ 2.1.1 5.6.5 ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓
(*)在這些Wazuh應用程序版本中,Elastic Stack有不同的兼容版本。
您可以在Kibana存儲庫中找到有關Wazuh應用程序的更多信息,您可以在其中查看Wazuh應用程序和Elastic Stack版本之間更詳細的兼容性.
API和Splunk應用程序
Wazuh的Splunk應用程序需要兼容兩種不同的產品:
- 使用Wazuh API,它需要相同的
major.minor版本。- 使用Splunk,它只與完全相同的版本兼容。
| App version | Splunk version | API version | |||||||||
| 3.8.x | 3.7.x | 3.6.x | 3.5.x | 3.4.x | 3.3.x | 3.2.x | 3.1.x | 3.0.x | 2.1.1 | ||
| 3.8.x | 7.2.3 | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.7.x | 7.2.0 to 7.2.1* | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.6.x | 7.1.2 to 7.1.3* | ✗ | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.5.x | 7.1.2 | ✗ | ✗ | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.4.x | 7.1.2 | ✗ | ✗ | ✗ | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ |
| 3.3.x | 7.1.1 | ✗ | ✗ | ✗ | ✗ | ✗ | ✓ | ✗ | ✗ | ✗ | ✗ |
| 3.2.x | 7.0.3 to 7.1.1* | ✗ | ✗ | ✗ | ✗ | ✗ | ✗ | ✓ | ✗ | ✗ | ✗ |
(*)在這些Wazuh應用程序版本中,Splunk有不同的兼容版本。
您可以在Wazuh應用程序存儲庫中找到更多信息,您可以在其中查看用於Wazuh和Splunk版本的Splunk應用程序之間的更詳細的兼容性.