wazauh離線部署

官網 https://wazuh.com/

• 若是服務器能夠聯網，直接參照官網文檔部署便可。

• 爲方便安裝，選擇手動下載rpm包進行安裝

wazuh相關下載地址：https://documentation.wazuh.com/3.12/installation-guide/packages-list/index.html#linux
ES下載相關地址：https://www.elastic.co/cn/downloads/

• 內網沒法使用網絡源，所以選擇先將rpm包在能夠聯網的機器下載下來，再上傳到內網服務器安裝，可使用yumdownloader命令。

yum install yum-utils
語法：yumdownloader  rpmname  --resolve --destdir=/path  ##resolve   下載依賴包

1、安裝Wazuh

1. 安裝Wazuh-manager

   rpm -ivh wazuh-manager-3.12.3-1.x86_64.rpm 
   systemctl status wazuh-manager #安裝完成會自動啓動

2. 安裝Wazuh-API

   #安裝Wazuh-API須要nodejs> = 4.6.1，所以首先安裝nodejs
   rpm -ivh nodejs-10.21.0-1nodesource.x86_64.rpm 
   rpm -ivh wazuh-api-3.12.3-1.x86_64.rpm 
   systemctl status wazuh-api.service #安裝完成會自動啓動

3. 安裝filebeat

   #Filebeat是Wazuh服務器上的工具，可將警報和存檔事件安全地轉發到Elasticsearch。
   rpm -ivh filebeat-7.7.1-x86_64.rpm 
   
   #因爲內網環境不方便下載官方提供的配置文件，所以選擇一臺能夠連網的機器手動下載後將文件上傳至內網服務器對應的目錄中並受權。
   #下載Filebeat配置文件，用於將Wazuh警報轉發到Elasticsearch。
   curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.12.3/extensions/filebeat/7.x/filebeat.yml  #官方下載命令
   
   cp  filebeat.yml  /etc/filebeat/ #拷貝下載的配置文件至filebeat
   chmod go+r /etc/filebeat/filebeat.yml #受權
   
   #下載Elasticsearch的警報模板
   curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.12.3/extensions/elasticsearch/7.x/wazuh-template.json  #官方下載命令
   
   cp wazuh-template.json /etc/filebeat/  ##拷貝下載的警報模板至filebeat
   chmod go+r /etc/filebeat/wazuh-template.json  #受權
   
   #下載適用於Filebeat的Wazuh模塊
   curl -s https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module
   
   tar  -xvf wazuh-filebeat-0.1.tar.gz  -C /usr/share/filebeat/module/
   
   #修改配置文件
   vim /etc/filebeat/filebeat.yml
   output.elasticsearch.hosts: ['http://YOUR_ELASTIC_SERVER_IP:9200']  #寫入es的地址
   
   #啓動
   systemctl daemon-reload
   systemctl enable filebeat.service
   systemctl start filebeat.service

2、安裝Elasticsearch

1. 安裝jdk

   rpm -ivh jdk-8u181-linux-x64.rpm 
   #能夠選擇分佈式，也能夠選擇單點，由於是實驗環境，因此將Elasticsearch與Wazuh服務器裝在同一臺服務器。

2. 安裝es

   rpm -ivh elasticsearch-7.7.1-x86_64.rpm
   #修改es配置文件
   vim  /etc/elasticsearch/elasticsearch.yml
   network.host: 127.0.0.1   #因爲單機部署，所以寫127.0.0.1
   node.name: node-1   #使用默認
   cluster.initial_master_nodes: ["node-1"]  
   
   #啓動
   systemctl daemon-reload
   systemctl enable elasticsearch.service
   systemctl start elasticsearch.service
   
   #加載Filebeat模板，在安裝filebeat的位置運行此命令
   filebeat setup --index-management -E setup.template.json.enabled=false
   
   #簡單檢查
   curl http://127.0.0.1:9200

3、安裝Kibana

1. 安裝

   rpm -ivh kibana-7.7.1-x86_64.rpm

2. 安裝wazuh插件

   cd /usr/share/kibana/
   cp /root/wazuhapp-3.12.3_7.7.1.zip  /usr/share/kibana/  #也能夠放到/tpm
   sudo -u kibana bin/kibana-plugin install  file:///usr/share/kibana/wazuhapp-3.12.3_7.7.1.zip

3. 修改配置文件

   vim /etc/kibana/kibana.yml
   server.host: "0.0.0.0"
   elasticsearch.hosts: ["http://127.0.0.1:9200"]
   
   #對於Kibana 7.6.X以上的版本，增長kibana的堆大小確保插件正常安裝
   cat >> /etc/default/kibana << EOF
   NODE_OPTIONS="--max_old_space_size=2048"
   EOF
   
   #登陸
   http://192.168.113.107:5601/

4、安裝agent

• 自動註冊

  #自動註冊，將agent的包上傳到服務器，而後使用此命令安裝便可。
  WAZUH_MANAGER='192.168.113.107'  yum install wazuh-agent-3.12.3-1.x86_64.rpm