wazuh官方安裝指南（中文譯版本）

 

安裝Wazuh服務器

Wazuh服務器能夠安裝在任何類型的Unix操做系統上。最多見安裝在Linux上。若是能夠爲您的系統提供自動化腳本，則安裝過程會更容易，可是，從源碼構建和安裝也很是簡單。

一般在Wazuh服務器上安裝兩個組件：管理器和API。此外，對於分佈式體系結構（Wazuh服務器將數據發送到遠程Elastic Stack集羣），須要安裝Filebeat。

安裝Wazuh服務器有多種選擇，具體取決於操做系統以及是否但願從源代碼構建。請參閱下表並選擇如何安裝：

類型	描述
RPM包	在CentOS / RHEL / Fedora上安裝Wazuh服務器
DEB包	在Debian/Ubuntu上安裝Wazuh服務器

注意

強烈建議在64位操做系統上安裝Wazuh Server，由於Wazuh API在32位平臺上不可用。若是沒有Wazuh API，Wazuh Kibana應用程序的大部分功能都將沒法使用。一樣，若是您爲Wazuh Server平臺使用Red Hat或CentOS，請確保它是版本6或更高版本才能正確安裝Wazuh API。

使用RPM軟件包安裝Wazuh服務器

對於CentOS / RHEL / Fedora平臺，安裝Wazuh服務器組件須要在添加更新源後安裝相關軟件包。

注意：下面使用的許多命令都須要以root用戶權限執行。

添加Wazuh存儲庫

設置Wazuh的第一步是將Wazuh更新源添加到您的系統中。若是您想直接下載wazuh-manager軟件包，或查看兼容版本，請單擊此處。

要設置更新源，請運行如下命令：

# cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF

對於CentOS-5和RHEL-5：

# cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=http://packages.wazuh.com/key/GPG-KEY-WAZUH-5
enabled=1
name=Wazuh repository
baseurl=http://packages.wazuh.com/3.x/yum/5/$basearch/
protect=1
EOF

安裝Wazuh Manager

下一步是在您的系統上安裝Wazuh Manager：

# yum install wazuh-manager

完成此過程後，您可使用如下命令檢查服務狀態

a.for  Systemd：

# systemctl status wazuh-manager

b.For SysV Init:

# service wazuh-manager status

安裝Wazuh API

1. 要運行Wazuh API，須要NodeJS> = 4.6.1。若是您沒有安裝NodeJS或者您的版本低於4.6.1，咱們建議您添加官方NodeJS更新源庫，以下所示：

# curl --silent --location https://rpm.nodesource.com/setup_8.x | bash -

而後，安裝NodeJS：

# yum install nodejs

2.要運行Wazuh API，須要Python> = 2.7。它默認安裝或包含在大多數Linux發行版的官方庫中。

要肯定系統上的python版本是否低於2.7，能夠運行如下命令：

 # python --version

It is possible to set a custom Python path for the API in ``/var/ossec/api/configuration/config.js``, in case the stock version of Python in your distro is too old:

config.python = [
    // Default installation
    {
        bin: "python",
        lib: ""
    },
    // Package 'python27' for CentOS 6
    {
        bin: "/opt/rh/python27/root/usr/bin/python",
        lib: "/opt/rh/python27/root/usr/lib64"
    }
];

CentOS 6和Red Hat 6附帶Python 2.6，可是，你能夠並行安裝Python 2.7來兼容舊版本

a.對於CentOS 6：

# yum install -y centos-release-scl
# yum install -y python27

b.對於RHEL 6：

# yum install python27

您可能須要首先啓用存儲庫以獲取python27，使用以下命令：

#   yum-config-manager --enable rhui-REGION-rhel-server-rhscl
#   yum-config-manager --enable rhel-server-rhscl-6-rpms

3.安裝Wazuh API。若是須要，它將更新NodeJS：

# yum install wazuh-api

4.完成此過程後，您可使用如下命令檢查服務狀態：

a.for  Systemd：

# systemctl status wazuh-api

b.for SysV Init：

# service wazuh-api status

5.（可選）禁用Wazuh更新源：

建議禁用Wazuh更新源以防止意外升級。爲此，請使用如下命令：

# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo

安裝Filebeat

Filebeat是Wazuh服務器上的工具，能夠將警報和歸檔事件安全地轉發到Elastic Stack服務器上的Logstash服務上

 

警告：在單主機架構中（Wazuh服務器和Elastic Stack安裝在同一系統中），不須要安裝Filebeat，由於Logstash將可以直接從本地文件系統讀取事件/警報數據，而無需轉發器。

 

RPM軟件包適合安裝在Red Hat，CentOS和其餘基於RPM的系統上

1. 從Elastic安裝GPG密鑰，而後安裝Elastic更新源：

# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch

# cat > /etc/yum.repos.d/elastic.repo << EOF
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

2.安裝Filebeat：

# yum install filebeat-6.6.0

3.從Wazuh存儲庫下載Filebeat配置文件。這是預配置爲將Wazuh警報轉發給Logstash：

# curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/filebeat/filebeat.yml

4. 編輯文件/etc/filebeat/filebeat.yml並替換ELASTIC_SERVER_IP 爲Elastic Stack服務器的IP地址或主機名。例如：

output:
  logstash:
    hosts: ["ELASTIC_SERVER_IP:5000"]

5.啓動Filebeat服務：

 a.for Systemd：

# systemctl daemon-reload
# systemctl enable filebeat.service
# systemctl start filebeat.service

b.for SysV Init：

# chkconfig --add filebeat
# service filebeat start

6.（可選）禁用Elasticsearch存儲庫：

建議禁用Elasticsearch更新源，以防止升級到較新的Elastic Stack版本，爲此，請使用如下命令：

# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/elastic.rep

使用DEB包安裝Wazuh服務器

對於Debian / Ubuntu平臺，安裝Wazuh服務器組件須要在添加存儲庫後安裝相關的軟件包。下面使用的許多命令都須要以root用戶權限執行。

添加Wazuh更新源

設置Wazuh的第一步是將Wazuh更新源添加到您的系統上。若是您想直接下載wazuh-manager軟件包，或查看兼容版本，請單擊此處。

1. 要執行此過程當中，curl，apt-transport-https和lsb-release軟件包必須安裝在系統上。若是它們沒被安裝，請使用如下命令安裝它們：

# apt-get update
# apt-get install curl apt-transport-https lsb-release

若是該/usr/bin/python文件不存在（如在Ubuntu 16.04 LTS或更高版本中），請使用如下命令建立Python（2.7或更高版本）：

# if [ ! -f /usr/bin/python ]; then ln -s /usr/bin/python3 /usr/bin/python; fi

2.安裝GPG密鑰

# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -

3.添加更新源

# echo "deb https://packages.wazuh.com/3.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

4.更新包

# apt-get update

安裝Wazuh Manager

在您的終端上，安裝Wazuh manager：

# apt-get install wazuh-manager

完成此過程後，您可使用如下命令檢查服務狀態：

a. for Systemd：

# systemctl status wazuh-manager

b.for  SysV Init：

# service wazuh-manager status

安裝Wazuh API

1. 要運行Wazuh API，須要NodeJS> = 4.6.1。若是您沒有安裝NodeJS或者您的版本低於4.6.1，咱們建議您添加官方NodeJS存儲庫，以下所示：

# curl -sL https://deb.nodesource.com/setup_8.x | bash -

 

若是您使用的是Ubuntu 12.04（Precise）或Debian 7（Wheezy），則必須使用如下命令安裝NodeJS 6：

# curl -sL https://deb.nodesource.com/setup_6.x | bash -

而後，安裝NodeJS：

# apt-get install nodejs

2.要運行API，須要Python> = 2.7。它默認安裝或包含在大多數Linux發行版的官方庫中。

要肯定系統上的python版本是否低於2.7，能夠運行如下命令：

# python --version

It is possible to set a custom Python path for the API in ``/var/ossec/api/configuration/config.js``, in case the stock version of Python in your distro is too old:

config.python = [
    // Default installation
    {
        bin: "python",
        lib: ""
    },
    // Package 'python27' for CentOS 6
    {
        bin: "/opt/rh/python27/root/usr/bin/python",
        lib: "/opt/rh/python27/root/usr/lib64"
    }
];

3.安裝Wazuh API。若是須要，它將更新NodeJS：

# apt-get install wazuh-api

4.完成此過程後，您可使用如下命令檢查服務狀態：

a.for Systemd：

# systemctl status wazuh-api

b.for SysV Init：

# service wazuh-api status

5.（可選）禁用Wazuh更新：

建議禁用Wazuh更新源以防止意外升級。爲此，請使用如下命令：

# sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/wazuh.list
# apt-get update

或者，您能夠將程序包狀態設置爲hold，這將中止更新（儘管您仍然能夠手動升級它）

# echo "wazuh-manager hold" | sudo dpkg --set-selections
# echo "wazuh-api hold" | sudo dpkg --set-selections

安裝Filebeat

Filebeat是Wazuh服務器上的工具，能夠將警報和歸檔事件安全地轉發到Elastic Stack服務器上的Logstash服務。

警告：在單主機架構中（Wazuh服務器和Elastic Stack安裝在同一系統中），不須要安裝Filebeat，由於Logstash將可以直接從本地文件系統讀取事件/警報數據，而無需轉發器。

DEB包適用於Debian，Ubuntu和其餘基於Debian的系統。

1. 從Elastic安裝GPG密鑰，而後安裝Elastic存儲庫：

# curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
# echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-6.x.list
# apt-get update

2.安裝Filebeat：

# apt-get install filebeat=6.6.0

3.從Wazuh更新源下載Filebeat配置文件。這是預配置爲將Wazuh警報轉發給Logstash：

# curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/filebeat/filebeat.yml

4. 編輯文件/etc/filebeat/filebeat.yml並替換ELASTIC_SERVER_IP爲Elastic Stack服務器的IP地址或主機名。例如：

output:
  logstash:
    hosts: ["ELASTIC_SERVER_IP:5000"]

5.啓動Filebeat服務：

a.for Systemd:

# systemctl daemon-reload
# systemctl enable filebeat.service
# systemctl start filebeat.service

b.for SysV Init：

# update-rc.d filebeat defaults 95 10
# service filebeat start

6.(可選）禁用Elasticsearch更新：

建議禁用Elasticsear更新源，以防止升級到較新的Elastic Stack版本，爲此，請使用如下命令：

# sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/elastic-6.x.list
# apt-get update

或者，您能夠將程序包狀態設置爲hold，這將中止更新（儘管您仍然能夠手動升級它）

# echo "filebeat hold" | sudo dpkg --set-selections

安裝Elastic Stack

本指南介紹了由Logstash，Elasticsearch和Kibana組成的Elastic Stack服務器的安裝。咱們將說明這些基於包的組件安裝。您也能夠從源代碼編譯tar 安裝它們，可是，這不是Wazuh文檔中的首選安裝。

除了Elastic Stack組件，您還能夠找到安裝和配置Wazuh應用程序（部署爲Kibana插件）的說明。

根據您的操做系統，您能夠選擇從RPM或DEB軟件包安裝Elastic Stack。請參閱下表並選擇：

類型	描述
RPM包	在CentOS / RHEL / Fedora上安裝Elastic Stack
DEB包	在Debian / Ubuntu上安裝Elastic Stack

注意

目前，Elastic Stack僅支持64位操做系統

 

 

使用RPM軟件包安裝Elastic Stack

RPM軟件包適合安裝在Red Hat，CentOS和其餘基於RPM的系統上。

注意：下面的許多命令都須要以root用戶權限執行。

Preparation

1. Logstash和Elasticsearch須要Oracle Java JRE 8。

注意：如下命令下載Oracle Java JRE須要帶上cookie。請訪問Oracle Java 8 JRE下載頁面以獲取更多信息。

# curl -Lo jre-8-linux-x64.rpm --header "Cookie: oraclelicense=accept-securebackup-cookie""https://download.oracle.com/otn-pub/java/jdk/8u202-b08/1961070e4c9b4e26a04e7f5a083f551e/jre-8u202-linux-x64.rpm"

如今，檢查包是否已成功下載：

# rpm -qlp jre-8-linux-x64.rpm > /dev/null 2>&1&&echo"Java package downloaded successfully"||echo"Java package did not download successfully"

最後，使用yum安裝RPM包：

# yum -y install jre-8-linux-x64.rpm
# rm -f jre-8-linux-x64.rpm

2.安裝Elastic存儲庫及其GPG密鑰：

# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch

# cat > /etc/yum.repos.d/elastic.repo << EOF
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

Elasticsearch

Elasticsearch是一個高度可擴展的全文搜索和分析引擎。有關更多信息，請參閱Elasticsearch。

1. 安裝Elasticsearch包：

# yum install elasticsearch-6.6.0

2.啓動Elasticsearch服務：

a.for Systemd：

# systemctl daemon-reload
# systemctl enable elasticsearch.service
# systemctl start elasticsearch.service

b.for SysV Init：

# chkconfig --add elasticsearch
# service elasticsearch start

等待Elasticsearch服務器完成啓動很是重要。使用如下命令檢查當前狀態，該命令應該給出以下所示的響應：

# curl "http://localhost:9200/?pretty"

{
 "name" : "Zr2Shu_",
 "cluster_name" : "elasticsearch",
 "cluster_uuid" : "M-W_RznZRA-CXykh_oJsCQ",
 "version" : {
 "number" : "6.6.0",
 "build_flavor" : "default",
 "build_type" : "rpm",
 "build_hash" : "053779d",
 "build_date" : "2018-07-20T05:20:23.451332Z",
 "build_snapshot" : false,
 "lucene_version" : "7.3.1",
 "minimum_wire_compatibility_version" : "5.6.0",
 "minimum_index_compatibility_version" : "5.0.0"
 },
 "tagline" : "You Know, for Search"
}

3.爲Elasticsearch加載Wazuh模板：Kibana的Wazuh應用程序須要Elasticsearch模板才能正常工做，所以確保正確安裝它很是重要。

# curl https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -X PUT "http://localhost:9200/_template/wazuh" -H 'Content-Type: application/json' -d @-

注意：建議編輯默認配置以提升Elasticsearch的性能。爲此，請參閱 Elasticsearch調優 。

Logstash

Logstash是收集，解析和轉發數據到Elasticsearch的工具，用於索引和存儲Wazuh服務器生成的全部日誌。有關更多信息，請參閱 Logstash 。

1. 安裝Logstash包：

# yum install logstash-6.6.0

2.下載Logstash的Wazuh配置文件：

• 本地配置（僅在單主機架構中）：

  # curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/logstash/01-wazuh-local.conf

  因爲Logstash用戶須要讀取alerts.json文件，請運行如下命令將其添加到OSSEC組：

  # usermod -a -G ossec logstash

• 遠程配置（僅在分佈式架構中）：

  # curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/logstash/01-wazuh-remote.con

 

若是您使用CentOS-6 / RHEL-6或Amazon AMI（logstash像服務管理器同樣使用Upstart並須要修復，請參閱 此錯誤 ），請按照 如下步驟操做 ：

1. 編輯文件/etc/logstash/startup.options，將第30行從LS_GROUP = logstash更改成LS_GROUP = ossec
2. 經過運行命令 /usr/share/logstash/bin/system-install，並使用新參數更新服務
3. 從新啓動Logstash

 

4.啓用並啓動Logstash服務：

a.for Systemd：

# systemctl daemon-reload
# systemctl enable logstash.service
# systemctl start logstash.service

b.for SysV Init：

# chkconfig --add logstash
# service logstash start

 

注意:若是您在不一樣的系統（分佈式體系結構）上運行Wazuh服務器和Elastic Stack服務器，則在Filebeat和Logstash之間配置加密很是重要。爲此，請參閱 爲Filebeat和Logstash設置SSL 。

Kibana

Kibana是一個靈活，直觀的Web界面，用於可視化存儲在Elasticsearch中的事件和信息。在Kibana上查找更多信息。

1. 安裝Kibana包：

# yum install kibana-6.6.0

2.爲Kibana安裝Wazuh應用程序插件：

# sudo -u kibana NODE_OPTIONS="--max-old-space-size=3072" /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.8.2_6.6.0.zip

Kibana插件安裝過程可能須要幾分鐘。請耐心等待。

3.可選，Kibana默認只監聽環回接口（localhost）。要將Kibana設置爲偵聽全部接口，請編輯文件/etc/kibana/kibana.yml取消註釋並設置server.host，將值更改成：

server.host:"0.0.0.0"

注意：建議爲Kibana設置Nginx代理，以便使用SSL加密並啓用身份驗證。能夠在爲Kibana設置SSL和身份驗證中找到設置代理的說明。

4.啓動Kibana服務：

a.for Systemd：

# systemctl daemon-reload
# systemctl enable kibana.service
# systemctl start kibana.service

b.for SysV Init：

# chkconfig --add kibana
# service kibana start

5.（可選）禁用Elasticsearch更新源：

建議禁用Elasticsearch更新源，以防止升級到較新的Elastic Stack版本，爲此，請使用如下命令：

# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/elastic.repo

 

 

使用Debian軟件包安裝Elastic Stack

DEB包適用於Debian，Ubuntu和其餘基於Debian的系統。

注意：下面的許多命令都須要以root用戶權限執行。

Preparation

1.Logstash和Elasticsearch須要Oracle Java JRE或OpenJDK：

a.對於 Debian >= 8/Jessie or Ubuntu >= 16.04/Xenial:

    # apt-get update
   # apt-get install openjdk-8-jre

a.

對於Debian <8 / Jessie：

# echo "deb http://ppa.launchpad.net/webupd8team/java/ubuntu xenial main" | tee /etc/apt/sources.list.d/webupd8team-java.list
# apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys EEA14886
# apt-get update
# apt-get install oracle-java8-installer

b.對於Ubuntu <16.04 / Xenial：

#

add-apt-repository ppa：webupd8team / java

＃

apt-get update

＃

apt-get install oracle-java8-installer

2.安裝Elastic存儲庫及其GPG密鑰：

# apt-get install curl apt-transport-https
# curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
# echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-6.x.list
# apt-get update

Elasticsearch

Elasticsearch是一個高度可擴展的全文搜索和分析引擎。有關更多信息，請參閱Elasticsearch。

1. 安裝Elasticsearch包：

# apt-get install elasticsearch=6.6.0

2.啓動Elasticsearch服務：

a.for Systemd：

# systemctl daemon-reload
# systemctl enable elasticsearch.service
# systemctl start elasticsearch.service

b.for SysV Init：

# update-rc.d elasticsearch defaults 95 10
# service elasticsearch start

等待Elasticsearch服務器完成啓動是很是重要。使用如下命令檢查當前狀態，該命令應該給出以下所示的響應：

# curl "http://localhost:9200/?pretty"

{
  "name" : "Zr2Shu_",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "M-W_RznZRA-CXykh_oJsCQ",
  "version" : {
    "number" : "6.6.0",
    "build_flavor" : "default",
    "build_type" : "deb",
    "build_hash" : "053779d",
    "build_date" : "2018-07-20T05:20:23.451332Z",
    "build_snapshot" : false,
    "lucene_version" : "7.3.1",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

3.爲Elasticsearch加載Wazuh模板：Kibana的Wazuh應用程序須要Elasticsearch模板才能正常工做，所以確保正確它很是重要。

# curl https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -X PUT "http://localhost:9200/_template/wazuh" -H 'Content-Type: application/json' -d @-

注意:建議編輯默認配置以提升Elasticsearch的性能。爲此，請參閱Elasticsearch調優。

Logstash

Logstash是收集，解析和轉發數據到Elasticsearch的工具，用於索引和存儲Wazuh服務器生成的全部日誌。有關更多信息，請參閱Logstash。

1. 安裝Logstash包：

# apt-get install logstash=1:6.6.0-1

2.下載Logstash的Wazuh配置文件：

a.本地配置（僅在單主機架構中）：

# curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/logstash/01-wazuh-local.conf

因爲Logstash用戶須要讀取alerts.json文件，請運行如下命令將其添加到OSSEC組：

# usermod -a -G ossec logstash

b.遠程配置（僅在分佈式架構中）：

# curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/logstash/01-wazuh-remote.conf

3. 啓用並啓動Logstash服務：

a.for Systemd：

# systemctl daemon-reload
# systemctl enable logstash.service
# systemctl start logstash.service

b.for SysV Init：

# update-rc.d logstash defaults 95 10
# service logstash start

注意:若是您在不一樣的系統（分佈式體系結構）上運行Wazuh服務器和Elastic Stack服務器，則在Filebeat和Logstash之間配置加密很是重要。爲此，請參閱爲Filebeat和Logstash設置SSL。

Kibana

Kibana是一個靈活，直觀的Web界面，用於可視化存儲在Elasticsearch中的事件和信息。在Kibana上查找更多信息。

1. 安裝Kibana包：

# apt-get install kibana=6.6.0

1. 爲Kibana安裝Wazuh應用程序插件：

# sudo -u kibana NODE_OPTIONS="--max-old-space-size=3072" /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.8.2_6.6.0.zip

Kibana插件安裝過程可能須要幾分鐘。請耐心等待

3.可選，Kibana默認只監聽環回接口（localhost）。要將Kibana設置爲偵聽全部接口，請編輯該文件/etc/kibana/kibana.yml，並取消註釋該設置server.host。將值更改成：

server.host: "0.0.0.0"

注意：建議爲Kibana設置Nginx代理，以便使用SSL加密並啓用身份驗證。能夠在爲Kibana設置SSL和身份驗證中找到設置代理的說明。

4.並啓動Kibana服務：

a.for Systemd：

# systemctl daemon-reload
# systemctl enable kibana.service
# systemctl start kibana.service

b. for SysV Init：

# update-rc.d kibana defaults 95 10
# service kibana start

5.（可選）禁用Elasticsearch更新：

建議禁用Elasticsearch更新源，以防止升級到較新的Elastic Stack版本，由於可能會撤消應用程序的更改。爲此，請使用如下命令：

# sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/elastic-6.x.list
# apt-get update

或者，您能夠將程序包狀態設置爲hold，這將中止更新（儘管您仍然能夠手動升級它）

# echo "elasticsearch hold" | sudo dpkg --set-selections
# echo "kibana hold" | sudo dpkg --set-selections
# echo "logstash hold" | sudo dpkg --set-selections

 

安裝Wazuh代理

Wazuh代理程序在您要監控的主機上運行。它是多平臺的，並提供如下功能：

• 日誌和數據收集，
• 文件完整性監控，
• rootkit和惡意軟件檢測
• 安全策略監測

此外，它還與Wazuh manger 進行通訊，經過加密和認證的通道實時地發送數據。

安裝Wazuh代理有多種選擇，具體取決於操做系統以及是否但願從源代碼構建。請參閱下表並選擇如何繼續執行：

類型	描述
RPM包	在CentOS / RHEL / Fedora上安裝Wazuh agnet
DEB包	在Debian / Ubuntu上安裝Wazuh agent
Windows安裝程序	在Windows上安裝Wazuh agent

注意:使用Puppet，Chef，SCCM或Ansible等自動化工具能夠更輕鬆地將agnet部署到大量服務器或端點上。若是要在更大的環境中部署Wazuh，請考慮探索這些方法。

使用RPM軟件包安裝Wazuh agent

RPM軟件包適合安裝在Red Hat，CentOS和其餘基於RPM的系統上。

注意：下面的許多命令都須要以root用戶權限執行

添加Wazuh存儲庫

安裝Wazuh代理的第一步是將Wazuh存儲庫添加到您的系統。或者，若是您想直接下載wazuh-agent軟件包，或查看兼容版本，能夠從這裏開始。根據您的發行版運行如下命令來設置更新源：

CentOS 6 / RHEL 6，CentOS 7 / RHEL 7，Fedora 22或更高版本以及Amazon Linux

# cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF

 

CentOS 5 / RHEL 5

# cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=http://packages.wazuh.com/key/GPG-KEY-WAZUH-5
enabled=1
name=Wazuh repository
baseurl=http://packages.wazuh.com/3.x/yum/5/$basearch/
protect=1
EOF

 

SUSE 12

# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
# cat > /etc/zypp/repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF

SUSE 11

# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH-5
# cat > /etc/zypp/repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=http://packages.wazuh.com/key/GPG-KEY-WAZUH-5
enabled=1
name=Wazuh repository
baseurl=http://packages.wazuh.com/3.x/yum/5/$basearch/
protect=1
EOF

 

安裝Wazuh agent

1. 在終端上，按以下方式安裝Wazuh agent:

• 使用yum包安裝：

  # yum install wazuh-agent

• 使用zypper包安裝

  # zypper install wazuh-agent

2.（可選）禁用Wazuh存儲庫：

建議禁用Wazuh更新源以防止意外升級。爲此，請使用如下命令：

• 使用yum包管理器：

  # sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo

• 使用zypper包管理器：

  # sed -i "s/^enabled=1/enabled=0/" /etc/zypp/repos.d/wazuh.repo

 

使用DEB包安裝Wazuh agent

DEB包適用於Debian，Ubuntu和其餘基於Debian的系統。

注意：下面的許多命令都須要以root用戶權限執行

添加Wazuh存儲庫

安裝Wazuh代理的第一步是將Wazuh存儲庫添加到您的服務器。或者，若是您但願直接下載wazuh-agent軟件包，能夠在此處找到它。

1. 要執行此過程當中，curl，apt-transport-https和lsb-release軟件包必須安裝在系統上。若是它們沒有被安裝，請使用如下命令安裝它們：

# apt-get install curl apt-transport-https lsb-release

2.安裝Wazuh存儲庫GPG密鑰

# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -

3.添加存儲庫：

# echo "deb https://packages.wazuh.com/3.x/apt/ stable main" | tee /etc/apt/sources.list.d/wazuh.list

4.更新包

# apt-get update

安裝Wazuh agent

1. 在您的終端上，安裝Wazuh agent

# apt-get install wazuh-agent

2.（可選）禁用Wazuh更新：

建議禁用Wazuh存儲庫以防止意外升級。爲此，請使用如下命令：

# sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/wazuh.list
# apt-get update

或者，您能夠將程序包狀態設置爲hold，這將中止更新（儘管您仍然能夠手動升級它）

# echo "wazuh-agent hold" | sudo dpkg --set-selections

在Windows上安裝Wazuh agent

注意:您將須要管理員權限才能執行此安裝

在Windows計算機上安裝Wazuh agent的第一步是從軟件包列表中下載Windows安裝程序。下載完成後，可使用如下兩種方法之一安裝Windows代理：

• 使用GUI
• 使用命令

使用GUI

要從GUI安裝Windows agent，請運行下載的文件，而後按照安裝嚮導中的步驟操做。若是您不肯定如何選擇，只需使用默認選項安裝便可。

安裝後，agent 會使用圖形用戶界面進行配置，打開日誌文件或啓動和中止服務。

默認狀況下，全部agent的配置文件將在：C:\Program Files(x86)\ossec-agent

注意：如今已安裝agent程序，下一步是註冊並配置它以與mangent通訊。有關此過程的更多信息，請訪問用戶手冊。

使用命令

注意:必須使用管理員權限運行進行自動安裝

要從命令中安裝Windows agent,請使用如下命令運行安裝程序（該/q參數用與無人蔘與安裝）：

wazuh-agent-3.8.2-1.msi /q

要卸載 agent，將須要原始MSI文件來執行自動卸載

msiexec.exe /x wazuh-agent-3.8.2-1.msi /qn

您可使用如下參數來自動安裝authd註冊agent：

選項	描述
APPLICATIONFOLDER	設置安裝路徑。默認C:\Program Files (x86)\ossec-agent.
ADDRESS	指定管理器IP地址或主機名。此選項還接受以分號分隔的IP或主機名列表。
SERVER_PORT	指定管理器鏈接端口。
PROTOCOL	設置管理器和代理之間的通訊協議。接受UDP和TCP。默認爲UDP。
AUTHD_SERVER	指定Authd IP地址。
AUTHD_PORT	指定Authd鏈接端口。
PASSWORD	設置Authd密碼。
NOTIFY_TIME	設置管理器檢查與agent 之間鏈接的時間。
TIME_RECONNECT	設置從新鏈接嘗試以前的時間（以秒爲單位）。
CERTIFICATE	指定受權路徑證書。
PEM	指定證書路徑。
KEY	指定密鑰路徑。
AGENT_NAME	指定代理的名稱。默認狀況下將是計算機名稱。
GROUP	將指定的組分配給代理。
/ l installer.log	生成安裝過程的日誌。
/ l * v installer.log	生成安裝過程的日誌，包括詳細消息。

下面是一些安裝和註冊Windows agent 的示例

使用帶密碼註冊：

wazuh-agent-3.8.2-1.msi /q ADDRESS="192.168.1.1" AUTHD_SERVER="192.168.1.1" PASSWORD="TopSecret" AGENT_NAME="W2012"

使用帶密碼註冊並分配組：

azuh-agent-3.8.2-1.msi /q ADDRESS="192.168.1.1" AUTHD_SERVER="192.168.1.1" PASSWORD="TopSecret" GROUP="my-group"

使用帶CA註冊的相對路徑。它將在您的APPLICATIONFOLDER文件夾中搜索：

wazuh-agent-3.8.2-1.msi /q ADDRESS="192.168.1.1" AUTHD_SERVER="192.168.1.1" AGENT_NAME="W2019" CERTIFICATE="rootCA.pem"

包含空格的CA，證書或密鑰的絕對路徑能夠寫成以下所示：

wazuh-agent-3.8.2-1.msi /q ADDRESS="192.168.1.1" AUTHD_SERVER="192.168.1.1" KEY="C:\Progra~2\sslagent.key" PEM="C:\Progra~2\sslagent.cert"

數字「2」表示將在第二次出現「Progra」時搜索文件，所以，將在文件夾「C:\Program Files (x86)」」中搜索密鑰和證書。若是此數字爲「1」，則將在「Program Files」中搜索。

注意：要經過SSL驗證agent，必須同時使用KEY和PEM選項。請參閱帶SSL的驗證主機部分。

使用帶協議註冊

wazuh-agent-3.8.2-1.msi /q ADDRESS="192.168.1.1" AUTHD_SERVER="192.168.1.1" AGENT_NAME="W2016" PROTOCOL="TCP"

注意：在早於Windows Server 2008或Windows 7的Windows版本中，在Wazuh管理器上ossec-authd必須使用-a標誌運行程序，或者在auth配置上設置<ssl_auto_negotiate>選項以免兼容性錯誤。

可選配置

本節爲與創建高效，穩定和安全的Wazuh環境相關的最佳實踐提供指導。在這裏，您將找到有關如何在分佈式體系結構中設置SSL通訊的信息（Wazuh服務器與Elastic Stack集羣通訊），如何使用Nginx爲Kibana設置安全 agent 以及如何向Web用戶添加身份驗證接口。

內容

• 爲Filebeat和Logstash設置SSL
• 爲Kibana設置SSL和身份驗證
• 保護Wazuh API
• Elasticsearch調優
• Search Guard
• 自動安裝Wazuh API

 

爲Filebeat和Logstash設置SSL

若是您在單獨的系統和服務器（分佈式體系結構）上運行Wazuh服務器和Elastic Stack ，則在Filebeat和Logstash之間配置SSL加密很是重要。（這不適用於單服務器體系結構）

注意：下面的許多命令都須要以root用戶權限執行

生成自簽名SSL證書

1. 生成SSL證書和密鑰，以下所示：

   在安裝了Logstash服務器的計算機上，建立OpenSSL示例配置文件的副本。文件位置可能因操做系統而異：

   1. 在Debian或Ubuntu上：

      # cp /etc/ssl/openssl.cnf custom_openssl.cnf

   2. 在CentOS或Red Hat上：

      # cp /etc/pki/tls/openssl.cnf custom_openssl.cnf

注意：一般，您將在Elastic Stack服務器中運行Logstash服務器，或者，若是已在其中一個節點中設置了分佈式Elasticsearch集羣，則運行Logstash服務器。

2.編輯自定義配置文件custom_openssl.cnf：

找到該部分並添加以下所示的命令行，其中包含您的Elastic服務器的IP地址：

 

[ v3_ca ] subjectAltName = IP: YOUR_SERVER_IP 例如： [ v3_ca ] subjectAltName = IP: 192.168.1.2 3.生成SSL證書和密鑰：

# openssl req -x509 -batch -nodes -days 365 -newkey rsa:2048 -keyout /etc/logstash/logstash.key -out /etc/logstash/logstash.crt -config custom_openssl.cnf

4.

您能夠刪除自定義配置文件：

# rm custom_openssl.cnf

 

配置Logstash服務器

新生成的SSL證書和密鑰分別位於/etc/logstash/logstash.crt和/etc/logstash/logstash.key。接下來，配置Logstash以使用此新密鑰與Filebeat進行通訊。

1. 編輯文件/etc/logstash/conf.d/01-wazuh.conf並取消註釋與SSL相關的行。如今輸入如下命令：

   input {
       beats {
           port => 5000
           codec => "json_lines"
           ssl => true
           ssl_certificate => "/etc/logstash/logstash.crt"
           ssl_key => "/etc/logstash/logstash.key"
       }
   }

2. 從新啓動Logstash。該命令取決於OS init系統：

   1. for Systemd：

      # systemctl restart logstash.service

   2. for  SysV Init：

      # service logstash restart

配置Filebeat

配置Filebeat以驗證Logstash服務器的證書。

1. 在安裝了Filebeat 的計算機（Wazuh服務器）上，獲取Logstash服務器的SSL證書文件/etc/logstash/logstash.crt並將其複製到/etc/filebeat/logstash.crt。

   下面是一個示例，可用於將SSL證書從Logstash服務器複製到安裝了Filebeat的Wazuh服務器：

   # scp root@LOGSTASH_SERVER_IP:/etc/logstash/logstash.crt /etc/filebeat

2. 編輯文件/etc/filebeat/filebeat.yml,並取消註釋與SSL內部相關的行，以下所示：

   output:
    logstash:
      hosts: ["192.168.1.2:5000"]
      ssl:
        certificate_authorities: ["/etc/filebeat/logstash.crt"]

3. 從新啓動Filebeat。該命令取決於OS init系統：

a.for Systemd：

# systemctl restart logstash.service

b.for SysV Init：

# service logstash restart

注意：有關更多詳細信息，請參閱 Elastic的「 與Logstash保護通訊」指南。

爲Kibana設置SSL和身份驗證

默認狀況下，Kibana（包括Wazuh應用程序）與最終用戶系統上的Web瀏覽器之間的通訊未加密。強烈建議將Kibana配置爲使用SSL加密並啓用身份驗證。在本節中，咱們將介紹如何使用NGINX設置完成此操做。

NGINX是一種流行的開源Web服務器和反向代理，以其高性能，穩定性，豐富的功能集，簡單的配置和低資源消耗而着稱。在此示例中，咱們將其用做反向代理，以向最終用戶提供對Kibana的加密和通過身份驗證的訪問。

注意：下面的許多命令都須要以root用戶權限執行。Kibana Web界面的默認端口是5601。本案例將使80和443端口可用於HTTP / HTTPS訪問。

1. 用於Kibana的NGINX SSL代理（基於RPM的發行版）
2. 用於Kibana的NGINX SSL代理（基於Debian的發行版）

用於Kibana的NGINX SSL代理（基於RPM的發行版）

1. 安裝NGINX：

    a.對於CentOS：

# cat > /etc/yum.repos.d/nginx.repo <<\EOF
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=0
enabled=1
EOF

# yum install ngin

 b.對於RHEL：

# cat > /etc/yum.repos.d/nginx.repo <<\EOF
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/rhel/$releasever/$basearch/
gpgcheck=0
enabled=1
EOF

# yum install nginx

注意:有關更多信息，請參閱NGINX：官方Red Hat / CentOS軟件包。

2.安裝SSL證書和私鑰：

a.若是您擁有有效的簽名證書，請將密鑰文件<ssl_key>和證書文件複製到適當的位置：

＃ MKDIR -p的/ etc / PKI / TLS /證書的/ etc / PKI / TLS /私人
 ＃ CP <ssl_pem> /etc/pki/tls/certs/kibana-access.pem
 ＃ CP <ssl_key>的/ etc / PKI / TLS /private/kibana-access.key

b.若是您沒有有效的簽名證書，請按以下方式建立自簽名證書。請記住將字段設置爲您的服務器名稱。例如，若是您的服務器是，您將執行如下操做：

# mkdir -p /etc/pki/tls/certs /etc/pki/tls/private
# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/kibana-access.key -out /etc/pki/tls/certs/kibana-access.pem
  Generating a 2048 bit RSA private key
  ...........+++
  ................+++
  writing new private key to '/etc/pki/tls/private/kibana-access.key'
  -----
  You are about to be asked to enter information that will be incorporated
  into your certificate request.
  What you are about to enter is what is called a Distinguished Name or a DN.
  There are quite a few fields but you can leave some blank
  For some fields there will be a default value,
  If you enter '.', the field will be left blank.
  -----
  Country Name (2 letter code) [AU]: US
  State or Province Name (full name) [Some-State]: California
  Locality Name (eg, city) []: San Jose
  Organization Name (eg, company) [Internet Widgits Pty Ltd]: Example Inc.
  Organizational Unit Name (eg, section) []: section
  Common Name (e.g. server FQDN or YOUR name) []: example.com
  Email Address []: example@mail.com

3.將NGINX配置爲Kibana的HTTPS反向代理：

# cat > /etc/nginx/conf.d/default.conf <<\EOF
server {
    listen 80;
    listen [::]:80;
    return 301 https://$host$request_uri;
}

server {
    listen 443 default_server;
    listen            [::]:443;
    ssl on;
    ssl_certificate /etc/pki/tls/certs/kibana-access.pem;
    ssl_certificate_key /etc/pki/tls/private/kibana-access.key;
    access_log            /var/log/nginx/nginx.access.log;
    error_log            /var/log/nginx/nginx.error.log;
    location / {
        auth_basic "Restricted";
        auth_basic_user_file /etc/nginx/conf.d/kibana.htpasswd;
        proxy_pass http://kibana-server-ip:5601/;
    }
}
EOF

 

注意:咱們配置Nginx以封裝Kibana服務器的IP地址。此配置容許將Kibana請求重定向到HTTPS。使用此配置時，建議編輯文件/etc/kibana/kibana.yml以將字段設置server.host爲localhost。必須從新啓動Kibana服務才能應用此更改。

4.若是正在使用SELinux，則容許NGINX鏈接到Kibana端口：

# semanage port -a -t http_port_t -p tcp 5601

注意:這假設您已安裝policycoreutils-python來管理SELinux。

經過htpasswd啓用身份驗證

1. 安裝httpd-tools包

# yum install httpd-tools

2.生成.htpasswd文件，確保替換wazuh爲您選擇的用戶名，與auth_basic_user_file匹配：

# htpasswd -c /etc/nginx/conf.d/kibana.htpasswd wazuh

3.重啓NGINX：

a.for Systemd：

# systemctl restart nginx

b. for SysV Init：

# service nginx restart

如今，經過HTTPS訪問Kibana Web界面。它將提示您輸入在上述步驟中建立的用戶名和密碼。

警告:若是您遇到權限問題或得到502代碼錯誤，請嘗試執行如下命令：

 setsebool -P httpd_can_network_connect 1

用於Kibana的NGINX SSL代理（基於Debian的發行版）

1. 安裝NGINX：

# apt-get install nginx

2.安裝SSL證書和私鑰：

a.若是您擁有有效的簽名證書，請將密鑰文件<ssl_key>和證書文件複製<ssl_pem>到適當的位置：

# mkdir -p /etc/ssl/certs /etc/ssl/private
# cp <ssl_pem> /etc/ssl/certs/kibana-access.pem
# cp <ssl_key> /etc/ssl/private/kibana-access.key

b.若是您沒有有效的簽名證書，請按以下方式建立自簽名證書：

# mkdir -p /etc/ssl/certs /etc/ssl/private
# openssl req -x509 -batch -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/kibana-access.key -out /etc/ssl/certs/kibana-access.pem
  Generating a 2048 bit RSA private key
  .............+++
  ..+++
  writing new private key to '/etc/ssl/private/kibana-access.key'
  -----

3.將NGINX配置爲Kibana的HTTPS反向代理：

# cat > /etc/nginx/sites-available/default <<\EOF
server {
    listen 80;
    listen [::]:80;
    return 301 https://$host$request_uri;
}

server {
    listen 443 default_server;
    listen            [::]:443;
    ssl on;
    ssl_certificate /etc/ssl/certs/kibana-access.pem;
    ssl_certificate_key /etc/ssl/private/kibana-access.key;
    access_log            /var/log/nginx/nginx.access.log;
    error_log            /var/log/nginx/nginx.error.log;
    location / {
        auth_basic "Restricted";
        auth_basic_user_file /etc/nginx/conf.d/kibana.htpasswd;
        proxy_pass http://kibana-server-ip:5601/;
    }
}
EOF

注意:咱們配置Nginx以封裝Kibana服務器的IP地址。此配置容許將Kibana請求重定向到HTTPS。使用此配置時，建議編輯文件/etc/kibana/kibana.yml以將字段設置server.host爲localhost。必須從新啓動Kibana服務才能應用此更改。

經過htpasswd啓用身份驗證

1. 安裝apache2-utils包：

# apt-get install apache2-utils

2.使用您選擇的用戶名生成.htpasswd替換<user>下面的文件：

# htpasswd -c /etc/nginx/conf.d/kibana.htpasswd <user>

3.重啓NGINX：

a.For Systemd:

# systemctl restart nginx

b.For SysV Init:

# service nginx restart

如今，經過HTTPS訪問Kibana Web界面。它將提示您輸入在上述步驟中建立的用戶名和密碼。

保護Wazuh API

默認狀況下，Wazuh Kibana App和Wazuh API之間的通訊未加密。強烈建議您按照如下步驟保護Wazuh API：

1. 更改默認憑據：

默認狀況下，您能夠經過鍵入用戶「foo」和密碼「bar」來訪問Wazuh API，可是，您能夠按以下方式建立新憑據：

# cd /var/ossec/api/configuration/auth
# node htpasswd -c user myUserName

而後，您須要從新啓動wazuh-api和wazuh-manager服務才能使更改生效。

2.啓用HTTPS：

要啓用HTTPS，您須要生成或提供證書。您能夠學習如何生成本身的證書或使用腳本自動生成證書:

/var/ossec/api/scripts/configure_api.sh

3.綁定到localhost：

若是您不須要從外部訪問API，則應將API綁定到 localhost 使用配置文件/var/ossec/api/configuration/config.js中 的選項的config.host 。

Elasticsearch調整

本指南總結了容許優化Elasticsearch的相關配置。

1.Memory locking

2.Shards and replicas

Memory locking

當系統交換內存時，Elasticsearch的性能不好。對於節點的運行情況而言，任何JVM都不會交互到磁盤是相當重要的。

在本示例中，咱們將展現如何將bootstrap.memory_lock設置爲true，以便Elasticsearch將進程地址空間鎖定到RAM中。這能夠防止任何Elasticsearch內存被溢出。

1. 設置bootstrap.memory_lock

取消註釋或將此行添加到文件中/etc/elasticsearch/elasticsearch.yml：

bootstrap.memory_lock: true

2.編輯系統資源的限制

配置系統設置的位置取決於您選擇用於Elasticsearch安裝的軟件包和操做系統。

• 在使用systemd的狀況下，須要經過systemd指定系統限制。爲此，請建立執行命令的文件夾：

# mkdir -p /etc/systemd/system/elasticsearch.service.d/

而後，在新目錄中，添加一個名爲elasticsearch.conf文件，並指定該文件中的設置

[Service]
LimitMEMLOCK=infinity

在其餘狀況下，編輯/etc/sysconfig/elasticsearch（RPM）或/etc/default/elasticsearch（Debian ）並正確設置：

MAX_LOCKED_MEMORY=unlimited

3.Limit memory

若是Elasticsearch嘗試分配的內存超過可用內存，則先前的配置可能會致使節點不穩定甚至節點掛掉。JVM堆限制將有助於限制內存使用並防止出現這種狀況。

設置Elasticsearch內存大小時，有兩個規則適用：

• 使用不超過可用RAM的50％。
• 使用不超過32 GB。

此外，重要的是要考慮主機上運行的操做系統，服務和軟件的內存使用狀況。

默認狀況下，Elasticsearch配置有1 GB的內存。您可使用如下/etc/elasticsearch/jvm.options文件經過JVM標誌更改內存大小：

# Xms represents the initial size of total heap space
# Xmx represents the maximum size of total heap space
-Xms4g
-Xmx4g

警告：確保min（Xms）和max（Xmx）大小相同，以防止JVM內存在運行時調整大小，由於這是一個很是重要的過程。

4.重啓Elasticsearch

最後，重啓Elasticsearch服務：

a.for Systemd：

# systemctl daemon-reload
# systemctl restart elasticsearch

b.for SysV Init：

# service elasticsearch restart

啓動Elasticsearch後，您能夠經過檢查mlockall下一個請求的輸出中的值來查看是否已成功應用此設置：

# curl "http://localhost:9200/_nodes?filter_path=**.mlockall&pretty"

{
  "nodes" : {
    "sRuGbIQRRfC54wzwIHjJWQ" : {
      "process" : {
        "mlockall" : true
      }
    }
  }
}

 

若是該"mlockall"字段的輸出爲false，則請求失敗。您還會在日誌（位於）中找到沒法鎖定JVM內存的行/var/log/elasticsearch/elasticsearch.log。

參考：

• 內存鎖定檢查
• bootstrap.memory_lock
• 啓用bootstrap.memory_lock。
• Heap: Sizing and Swapping.
• 限制內存使用量

Shards and replicas

Elasticsearch提供了將索引拆分爲多個稱爲分片的段的功能。每一個分片自己都是一個功能齊全且獨立的「索引」，能夠託管在集羣中的任何節點上。分片很重要，主要有兩個緣由：

• 您能夠水平拆分/縮放內容卷
• 您能夠跨分片區分發和並行化操做，從而提升性能和吞吐量。

此外，Elasticsearch容許您將索引的分片的一個或多個副本轉換成所謂的副本分片或簡稱副本。複製很重要，主要有兩個緣由：

• 它在碎片或節點出現故障時提供高可用性
• 它容許您擴展搜索量和吞吐量，由於能夠在全部副本上並行執行搜索。

警告：能夠在建立索引時爲每一個索引定義分片和副本的數量。建立索引後，您能夠動態更改副本數，可是，您沒法在過後更改分片數。

個人索引應該有多少個分片？

因爲在沒有重建索引的狀況下沒法從新設置（更改分片數），所以應仔細考慮在建立第一個索引以前須要多少分片。您在安裝中計劃的節點數將影響您應該計劃的分片數。一般，經過使用與節點相同數量的分片來實現最佳性能。所以，具備三個節點的羣集應該具備三個分片，而具備一個節點的羣集將僅須要一個分片。

個人索引應該有多少個副本？

讓咱們看看如何設置具備三個節點和三個分片的集羣的一些選項：

• 無副本：每一個節點都有一個分片。若是節點發生故障，咱們將留下兩個分片的不完整索引。
• 一個副本：每一個節點有一個分片和一個副本。若是節點出現故障，咱們仍然會有一個完整的索引。
• 兩個副本：每一個節點有一個分片和兩個副本（完整索引）。經過此設置，即便兩個節點發生故障，羣集仍能夠正常運行。這彷佛是最好的解決方案，但它確實增長了存儲要求。

設置分片和副本的數量

使用RPM或Debian軟件包的默認安裝Elastic Stack 將爲每一個索引配置五個主分片和一個副本。

若是要更改這些設置，則須要編輯Elasticsearch模板。在如下示例中，分片和副本的正確值在僅包含一個節點的羣集中配置。

警告：若是已建立索引，則必須在編輯模板後從新編輯索引。

1. 下載Wazuh Elasticsearch模板：

# curl https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/elasticsearch/wazuh-elastic6-template-alerts.json -o w-elastic-template.json

2.編輯模板以設置一個沒有副本的分片：

# nano w-elastic-template.json

{
  "order": 0,
  "template": "wazuh-alerts-3.x-*",
  "settings": {
    "index.refresh_interval": "5s",
    "number_of_shards" :   1,
    "number_of_replicas" : 0
  },
  "mappings": {
  "...": "..."
  }
}

3.加載模板：

# curl -X PUT "http://localhost:9200/_template/wazuh" -H 'Content-Type: application/json' -d @w-elastic-template.json

{ "acknowledged" : true }

4.可選。確認您的配置已成功更新：

# curl "http://localhost:9200/_template/wazuh?pretty&filter_path=wazuh.settings"

{
  "wazuh" : {
    "settings" : {
      "index" : {
        "number_of_shards" : "1",
        "number_of_replicas" : "0",
        "refresh_interval" : "5s"
      }
    }
  }
}

 

更改副本數量

可使用Elasticsearch API動態更改副本數。

在具備一個節點的羣集中，副本數應設置爲零：

# curl -X PUT "http://localhost:9200/wazuh-alerts-*/_settings?pretty" -H 'Content-Type: application/json' -d'
{
  "settings" : {
    "number_of_replicas" : 0
  }
}
'

{ "acknowledged" : true }

 

請注意，咱們假設您的目標索引模式是「wazuh-alerts- *」，可是，可使用不一樣的索引模式。您可使用如下命令查看當前索引的完整列表：

# curl "http://localhost:9200/_cat/indices"

參考：

• Shards & Replicas.

Search Guard

Search Guard可用於經過使用不一樣的行業標準身份驗證技術來保護您的Elasticsearch集羣，例如Kerberos，LDAP/Active Directory，JSON Web令牌，TLS證書和代理身份驗證 SSO。

不管您使用何種身份驗證方法，基本流程以下：

• 用戶想要訪問Elasticsearch集羣，例如經過發出簡單查詢。

• Search Guard從請求中檢索用戶的憑據

  • 如何檢索憑據取決於身份驗證方法。例如，能夠從HTTP基自己份驗證頭，JSON Web令牌或Kerberos票證中提取它們。

• Search Guard根據配置的身份驗證後端對憑據進行身份驗證。

• Search Guard經過從配置的受權後端檢索用戶角色的列表來受權用戶

  • 從受權後端檢索的角色稱爲後端角色。
  • 例如，能夠從LDAP / AD，JSON Web令牌或Search Guard內部用戶數據庫中獲取角色。

• Search Guard將用戶和後端角色映射到Search Guard角色。

• Search Guard肯定與Search Guard角色關聯的權限，並決定是否容許用戶執行的操做。

• 若是您使用的是文檔和字段級安全性，則還能夠根據文檔和單個字段應用精細化的權限。

爲Logstash設置Search Guard

咱們的默認配置不使用Logstash的身份驗證，所以咱們須要正確配置它。編輯Logstash配置文件（位於/etc/logstash/conf.d/01-wazuh.conf）：

1.中止Logstash服務：

# systemctl stop logstash

2.查找輸出部分並將其替換爲如下內容：

output {
    elasticsearch {
        hosts => ["ELASTICSEARCH_HOST:9200"]
        index => "wazuh-alerts-3.x-%{+YYYY.MM.dd}"
        document_type => "wazuh"
        user => logstash
        password => logstash
        ssl => true
        ssl_certificate_verification => false
    }
}

3.從新啓動Logstash。

# systemctl restart logstash

警告：必須對全部Logstash配置應用此配置，替換特定字段（如主機或索引），具體取決於您的Logstash位置和要求。

爲Elasticsearch設置Search Guard

目前，不支持同時使用X-Pack安全性。若是您的環境當前正在使用X-Pack安全功能，則必須先將其禁用，而後再繼續閱讀本示例：

對於Elasticsearch，您須要在全部節點中編輯文件/etc/elasticsearch/elasticsearch.yml，並添加如下命令：

xpack.security.enabled: false

如今重啓Elasticsearch服務：

# systemctl restart elasticsearch

Search Guard必須與 Elastic stack中的任何其餘組件同樣適合Elasticsearch版本。Search Guard的版本控制略有不一樣，請在Search Guard版本中查看您的版本。

Search Guard的版本控制語法以下：

com.floragunn:search-guard-6:<elastic_version>-<searchguard_version>

本文檔是爲咱們最新支持的版本設計的，它是6.5.4，因此咱們的正確的版本設置：

com.floragunn:search-guard-6:6.5.4-24.0

因爲Search Guard是一個插件，咱們必須像其餘Elasticsearch插件安裝它：

sudo -u elasticsearch \
/usr/share/elasticsearch/bin/elasticsearch-plugin install \
-b com.floragunn:search-guard-6:6.5.4-24.0

Search Guard附帶一個演示配置，它做爲新手頗有用，因此讓咱們安裝演示配置：

$ cd /usr/share/elasticsearch/plugins/search-guard-6/tools/
$ chmod a+x install_demo_configuration.sh
# ./install_demo_configuration.sh
Install demo certificates? [y/N] y
Initialize Search Guard? [y/N] y
Enable cluster mode? [y/N] y

重啓Elasticsearch服務：

# systemctl restart elasticsearch

您可使用下一個請求檢查它是否按預期執行（Search Guard須要大約兩分鐘來建立其內部索引，所以請耐心等待）：

$ curl -k -u admin:admin https://<ELASTICSEARCH_HOST>:9200/_searchguard/authinfo?pretty
{
"user" : "User [name=admin, roles=[admin], requestedTenant=null]",
"user_name" : "admin",
"user_requested_tenant" : null,
"remote_address" : "10.0.0.4:46378",
"backend_roles" : [
    "admin"
],
"custom_attribute_names" : [
    "attr.internal.attribute1",
    "attr.internal.attribute2",
    "attr.internal.attribute3"
],
"sg_roles" : [
    "sg_all_access",
    "sg_own_index"
],
"sg_tenants" : {
    "admin_tenant" : true,
    "admin" : true
},
"principal" : null,
"peer_certificates" : "0",
"sso_logout_url" : null
}

設置Search Guard角色

Search Guard使用核心角色。Search Guard用戶角色使用核心角色。最後，Search Guard用戶使用用戶角色。

• 角色文件

  • /usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_roles.yml
  • Search Guard在引擎下使用核心角色

• 角色映射

  • /usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_roles_mapping.yml
  • Search Guard用戶使用的角色。這些角色能夠組合多個核心角色。

• 內部用戶

  • /usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_internal_users.yml
  • 這些是全部組件將使用的用戶。每一個組件使用具備本身角色的不一樣用戶。

Logstash角色

Logstash有本身的預約義用戶和本身的預約義角色。因爲Wazuh使用wazuh-alerts-3.x- *前綴建立自定義Elasticsearch索引，所以必須將該索引前綴添加到Logstash角色。

1. 編輯Logstash角色，位於/usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_roles.yml

sg_logstash:
    cluster:
        - CLUSTER_MONITOR
        - CLUSTER_COMPOSITE_OPS
        - indices:admin/template/get
        - indices:admin/template/put
    indices:
        'logstash-*':
            '*':
                - CRUD
                - CREATE_INDEX
        '*beat*':
            '*':
                - CRUD
                - CREATE_INDEX
        'wazuh-alerts-3?x-*':
            '*':
                - CRUD
                - CREATE_INDEX

注意：用於Search Guard角色的點被替換，3?x實際上意思是3.x

2.應用更改：

# /usr/share/elasticsearch/plugins/search-guard-6/tools/sgadmin.sh \
-cd /usr/share/elasticsearch/plugins/search-guard-6/sgconfig -icl -key \
/etc/elasticsearch/kirk-key.pem -cert /etc/elasticsearch/kirk.pem -cacert \
/etc/elasticsearch/root-ca.pem -h <ELASTICSEARCH_HOST> -nhnv

警告：在生產環境中，不建議使用-nhnv標識，由於它忽略了證書問題。

3.從新啓動Elasticsearch和Logstash服務：

# systemctl restart elasticsearch
# systemctl restart logstash

此時，您可使用user:password 身份驗證和加密通訊來保護您的Elasticsearch集羣。這意味着必須對指向某個Elasticsearch節點的任何Logstash進行身份驗證。此外，對Elasticsearch API的任何請求都必須使用https plus user:password 身份驗證。

爲Kibana設置Search Guard

目前，不支持同時使用X-Pack安全性。若是您的環境當前正在使用任何X-Pack安全功能，則必須先將其禁用，而後再繼續閱讀本示例。

對於Kibana，您須要編輯文件/etc/kibana/kibana.yml並添加如下行：

xpack.security.enabled：false

如今重啓Kibana服務：

# systemctl restart kibana

Kibana也須要Search Guard插件。插件版本控制就像Elasticsearch插件版本同樣，這意味着你必須徹底適合你的Kibana版本。

1. 像其餘安裝組件同樣安裝：

$ sudo -u kibana NODE_OPTIONS="--max-old-space-size=3072" /usr/share/kibana/bin/kibana-plugin install https://search.maven.org/remotecontent?filepath=com/floragunn/search-guard-kibana-plugin/6.5.4-17/search-guard-kibana-plugin-6.5.4-17.zip

2. 編輯Kibana配置文件，它位於/etc/kibana/kibana.yml，添加如下行：

# Elasticsearch URL
elasticsearch.url: "https://<ELASTICSEARCH_HOST>:9200"

# Credentials
elasticsearch.username: "admin"
elasticsearch.password: "admin"

# Disable SSL verification because we use self-signed demo certificates
elasticsearch.ssl.verificationMode: none

# Whitelist the Search Guard Multi Tenancy Header
elasticsearch.requestHeadersWhitelist: [ "Authorization" , "sgtenant" ]

如今，您能夠像往常同樣訪問Kibana UI，它將提示您登陸，您可使用現有的admin的用戶訪問它。

接下來的步驟咱們將學習如何定義新的Kibana UI用戶以及如何根據他們的須要爲全部用戶定義特定角色。

有關詳細信息，請參閱Kibana Search Guard插件。

Kibana UI和Wazuh應用程序

Wazuh應用程序須要管理.wazuh和.wazuh-version索引才能正常工做。服務器端使用索引.wazuh-version。

警告：只需從Elasticsearch集羣中的一個主節點執行

Wazuh app用戶

1.在/usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_roles.yml中建立新的Search Guard核心角色

sg_wazuh_admin:
  cluster:
    - indices:data/read/mget
    - indices:data/read/msearch
    - indices:data/read/search
    - indices:data/read/field_caps
    - CLUSTER_COMPOSITE_OPS
  indices:
    '?kiban*':
      '*':
        - MANAGE
        - INDEX
        - READ
        - DELETE
    '?wazuh':
      '*':
        - MANAGE
        - INDEX
        - READ
        - DELETE
    '?wazuh-version':
      '*':
        - MANAGE
        - INDEX
        - READ
        - DELETE

    'wazuh-alerts-3?x-*':
      '*':
        - indices:admin/mappings/fields/get
        - indices:admin/validate/query
        - indices:data/read/search
        - indices:data/read/msearch
        - indices:data/read/field_stats
        - indices:data/read/field_caps
        - READ
        - SEARCH

    'wazuh-monitoring*':
      '*':
        - indices:admin/mappings/fields/get
        - indices:admin/validate/query
        - indices:data/read/search
        - indices:data/read/msearch
        - indices:data/read/field_stats
        - indices:data/read/field_caps
        - READ
        - SEARCH

2.爲您的密碼建立哈希

bash /usr/share/elasticsearch/plugins/search-guard-6/tools/hash.sh -p yourpassword

3.使用步驟2中的哈希在/usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_internal_users.yml中建立新用戶。

wazuhadmin:
  hash: $2a$12$VcCDgh2NDk07JGN0rjGbM.Ad41qVR/YFJcgHp0UGns5JDymv..TOG
  roles:
    - wazuhadmin_role

3.在/usr/share/elasticsearch/plugins/search-guard-6/sgconfig/sg_roles_mapping.yml中設置Search Guard角色的角色映射

sg_wazuh_admin:
  backendroles:
    - wazuhadmin_role

4.應用更改：

# /usr/share/elasticsearch/plugins/search-guard-6/tools/sgadmin.sh \
-cd /usr/share/elasticsearch/plugins/search-guard-6/sgconfig -icl -key \
/etc/elasticsearch/kirk-key.pem -cert /etc/elasticsearch/kirk.pem -cacert \
/etc/elasticsearch/root-ca.pem -h <ELASTICSEARCH_HOST> -nhnv

Kibana簡要總結

如今你有兩個Kibana用戶：

• Kibana服務器使用Search Guard中預約義的管理員用戶（/etc/kibana/kibana.yml）。
• Kibana UI wazuhadmin用戶能夠看到全部並修改.wazuh索引。

它是如何進入Wazuh應用程序？

主要區別在於您如今必須在進入Kibana以前登陸。另請注意，若是不容許用戶使用某些索引，則不能在Kibana上使用它們。

參考

• https://docs.search-guard.com
• https://github.com/floragunncom/search-guard

 

自動插入Wazuh API

若是您想更快地在咱們的某個應用程序上添加Wazuh API憑據，您能夠執行如下命令之一，具體取決於您使用的應用程序：

Kibana應用程序

# curl -X POST "http://<ELASTICSEARCH_IP>:9200/.wazuh/wazuh-configuration/1513629884013" -H 'Content-Type: application/json' -d'
{
  "api_user": "<WAZUH_API_USERNAME>",
  "api_password": "<WAZUH_API_PASSWORD>",
  "url": "<WAZUH_API_URL>",
  "api_port": "<WAZUH_API_PORT>",
  "insecure": "true",
  "component": "API",
  "cluster_info" : {
    "manager" : "<WAZUH_MANAGER_HOSTNAME>",
    "cluster" : "<WAZUH_MANAGER_CLUSTER_NAME>",
    "status" : "<WAZUH_MANAGER_CLUSTER_STATUS>"
  },
  "extensions" : {
    "audit" : true,
    "pci" : true,
    "gdpr" : true,
    "oscap" : true,
    "ciscat" : false,
    "aws" : false,
    "virustotal" : false,
    "osquery" : false
  }

 

請注意如下事項：

1. <ELASTICSEARCH_IP>是Elasticsearch主機的URL 。
2. cURL命令（1513629884013）上使用的數字是一個隨機數，用於將Wazuh API條目標識爲惟一。若是要添加更多API，則必須使用其餘編號。
3. <WAZUH_API_USERNAME>和<WAZUH_API_PASSWORD>表示要存儲在應用程序中的Wazuh API憑據。
4. API密碼必須以base64格式存儲。使用將以正確的格式返回密碼以供使用：echo -n '<WAZUH_API_PASSWORD>' | base64
5. <WAZUH_API_URL>和<WAZUH_API_PORT>是Wazuh API 的完整IP地址和端口。URL必須包含http://或https://，具體取決於當前配置。
6. <WAZUH_MANAGER_HOSTNAME>是安裝Wazuh管理器的實例的主機名。您只需在管理器主機上運行該命令便可獲取此信息。
7. <WAZUH_MANAGER_CLUSTER_NAME>是Wazuh集羣的名稱。它是在文件ossec.conf上配置的。若是您沒有使用Wazuh羣集，請使用Disabled。
8. <WAZUH_MANAGER_CLUSTER_STATUS>是Wazuh集羣的狀態。使用enabled或disabled取決於您的配置。

Splunk app

# curl -X POST "http://<SPLUNK_IP>:<SPLUNK_PORT>/en-US/custom/SplunkAppForWazuh/manager/add_api?url=<WAZUH_API_URL>&portapi=<WAZUH_API_PORT>&userapi=<WAZUH_API_USERNAME>&passapi=<WAZUH_API_PASSWORD>"

 

1. <SPLUNK_IP>是安裝應用程序的Splunk實例的主機名或IP地址。
2. <SPLUNK_PORT>是安裝應用程序的Splunk實例的端口。默認狀況下，它是8000。
3. <WAZUH_API_URL>，<WAZUH_API_PORT>，<WAZUH_API_USERNAME>和<WAZUH_API_PASSWORD>表明Wazuh API憑證存儲上的應用程序。請記住，Wazuh API URL必須包含http://或https://，具體取決於當前配置

 

安裝包列表：

manage，agent以及API

 

操做系統	版本	系統位數	包	SHA512校驗和	MD5校驗和
基於Debian	3.8.2	32位	wazuh-agent_3.8.2-1_i386.deb	45fd4bf6210c21a9eb183ac6c9845ef380eb2da8c7a6c64c065866c0430036f01c8eb41c1caad7afc7a17d2016a2023c9415afa845b311d3144497b6a78dee23	d514d81444da3bb1a1310cc073daf57a
			wazuh-manager_3.8.2-1_i386.deb	6339a1fd455f7fdc982899cdae39974528379c8d68689f3959fb5a76bea244940f136fd5c858678ea7f1722d17f22dfcf8b039c4766230bb61f4f7ab1c4b817e	475685576e13a04a862e64f4b8ef678f
		64位	wazuh-agent_3.8.2-1_amd64.deb	8328534c96c12d2df29a37c120200a0bce7de1142d5b1706cb767d541d87de0e6777a08cda9d3a010c26032e72d7255fb12ff486b4dbf48782776537deb9b455	7a800037ed34070fe84b6b9fd1aa85f4
			wazuh-manager_3.8.2-1_amd64.deb	5f44124d3fcbf8f89a8f056f1f0837a1684ad86c2f81281044aa0cf653d429f932574a24a916f2e75c1f998109d8730c497ec4823f6021eb5ec1ac6a5098a644	11d0fca5514f33d0a5292aa5769c4453
			wazuh-api_3.8.2-1_amd64.deb	83dc3e6c71cb670b0b2c4883941152df8b6e93729830106c6f91bef47601663f238508db4f3146c61d074a586fe4f50cf6c5baf1ec2b98b42c46110cfb2be634	a6a5a2f4b7d679e02f1b26e3ba929fb7
基於RPM	3.8.2	32位	wazuh-agent-3.8.2-1.i386.rpm	d2f1b7c622f12f7da682f14453f04d346df3f77b740f204b5638b736cb9bb48ebf28c502d6e705f76f39b170b65241706220a3cb08ca315244658f9e10a7f09f	c711eceea1963aa783f349d3dad6ae93
			wazuh-manger-3.8.2-1.i386.rpm	4d90284fad80431b47393d954d2ca5575a426753abc2f5e6e698d551ba248823fcbe6f0760e982fa6dabafe59d77b8c0d78fe952e34cebb16654869b5b923a57	928cca5405556858798fbb0cd3bcc6be
		64位	wazuh-agent-3.8.2-1.x86_64.rpm	3db04f90da1701a7ff92a12e0472d78c70d2e9d9d96f075f1c2aff62a80d094acfada805b1a9edd8ac10e8eb2577470b0165171451e7a76bc44902f4b30d5b14	d97f9ded99047f9c2afbe058f72aaf89
			wazuh-manager，3.8.2-1.x86_64.rpm	9d59fbf7a058df01e275b810f2741551283e379b36618348b1da931d46a0ef35085fa36167d772d94de8aad40715702a91e2ef0ad04917601131963d78716655	92d64e9edbcddf75f570bdb732ea1e18
			wazuh-API 3.8.2-1.x86_64.rpm	b2d9ea714cd7f98458a33508f7b1014cf3b447f1ab532481d4a1ae70f6bcd31a3f1647b03949058dec2892ec8061c1ce81895a3a34c607403c06d61abe2c540f	7a9fa1664a7fdceb0f84c6152cfbc518
CentOS 5 RedHat 5 SUSE 11	3.8.2	32位	wazuh-agent-3.8.2-1.el5.i386.rpm	0ce0cc21542388fb39421a0cb1dab8b42c7d2bb1b6afead90281bddecfadc5761f24f6805fce09c0b16a50180b6921ddb535335e3189f28b00f90060a7e322b8	32b575cde448e1747fb0a350bd6786bb
			wazuh-manger，3.8.2-1.el5.i386.rpm	1504c72235aebffe29ccfddc3a5f8588e66237ac6bbc47070f50ce2778136b06e8ec3aac5e3cfe9da9d90cf34b8118abecf8c2a182b4a7c6d2139737c7293d67	d737aab2d84ebb5d0cd9ce4d447a3aeb
		64位	wazuh-agent-3.8.2-1.el5.x86_64.rpm	131a69e9e4bc3a59d51d3382db58002b997cfad02da774cb34aaf577c20c031b4f57301b38b36f916bc6991e6f6acc66b58855b0a3746b4d3c2fb229cf29f9f8	769cc8a89088109b1e491ffdcb0dbf05
			wazuh-manager，3.8.2-1.el5.x86_64.rpm	a15c12be503be01b977d12b9b679ca834e54b19bc7615ef82b95de4267211c33344abc13ac908f0fae326ad06c86bd02602c05bcb6109c2a28cd6ba83f68c85a	db57dfc16a05a8eec8bbc2c09a6d0613
windows	3.8.2	32/64位	wazuh-agnet-3.8.2-1.msi	753af161918bc3cc7fc8d3de9fc73103b54cc15453af202955e885d423293182a50e7bf5612adc2c00fdd5656698aaa94aa4618176d138ba93dd46e519dbca17	dd0b534e98b645eb1e43477b85013580
Mac OS X.	3.8.2	64位	wazuh-manager-3.8.2-1.pkg	605bcd645a518321016d33c4c0108152862581882997575b2eb3b1682a6341a807e7f92bc6f4ed483ed608cfd765be6db021a39eb3f91f310223441cadebaf1e	73bc5e724f16981130f3064a8355b700
HP-UX 11.31	3.8.2	Itanium	wazuh-agent-3.8.2-1-HPUX-11v3-ia64.tar	26ce466f8c9657289383550d6277ccbffc8eb758456f57cbe8a1fc1260f1cb4cd702edec33633cf53b1d2fca6bf7e7fed3584aa07513039708c20cd2efcdeb28	2c8633fb24cbf53b869238a78073f4ad
Solaris 10	3.8.2	I386	wazuh-agent_v3.8.2-SOL10，i386.pkg	a4a2ba591a39a382a9f8723f6b415138f4c44a18bc17956689e1bbbd1cfe2662871cbebc0e52dbee35ca590a2f183f4c93024c1a92c7e5785e5e397deb38b687	50c407237f6d5d496365ef30e1411c79
		SPARC	wazuh-agent_v3.8.2-SOL10，sparc.pkg	67d9e915a144de85c9198a76b7b97e0744b1de2cafdf31c872c2c229fd66f5e7d5b62b7a8a7651e766f304142172e9aa021eb80a4201c5b3566d828e59291236	00510447e6d9e8d7f5623bd29d356986
Solaris 11	3.8.2	I386	wazuh-agent_v3.8.2-sol11-i386.p5p	9bc17cb642e590d2d1bfb6a9a3260012ac585507aa6ddb37786e4faa9254a953dca181fdfb574db523b7a915b0fe308ebb3ef9fd69f04c1f3a7e885f04abfc7d	24aaf35aba94c8191c0b23263559d749
		SPARC	wazuh-agent_v3.8.2-sol11-sparc.p5p	c72100439bed144d34e589662e63dced353711df21f2e0a66b4100ad45c71aa2b6e2a5f1dcb86a2895c25ed74e9e12268f3478420440296937a2ede893487076	9225474a36629b86181273fbf9cbcbfe
AIX 5.3或更高版本	3.8.2	LPARs	wazuh-agent-3.8.2-1.aix.ppc.rpm	3f8da3a0deefb705c1ddad42d2fdb1240cfadd16f62285c4f7092cf327383e66f0314a0137cfb475261007cfd715c35692af9612b3d092e5941ce3de6111c599	2ea0dcec1066366873942bb89575af27

 

注意: 基於RPM的軟件包包括CentOS / RHEL 6或更高版本，Fedora 22或更高版本，SLES 12和Amazon Linux 。

Kibana和Splunk app

產品	版本	Wazuh	包	SHA512校驗和	MD5校驗和
Elastic Stack	6.6.0	3.8.2	wazuhapp-3.8.2_6.6.0.zip	0df564008cfb328c719a2847d3356dc620024535de65bb7b05204e7041d9037c7a71fff3ca544a00af3283589a2b2a4a74cdebbdb204194861f73a3f097a21ca	35ab8d3dcd0db78e67e50ecc283cf6b4
Splunk的	7.2.3	3.8.2	v3.8.2_7.2.3.tar.gz	443a16de801ff36170f36886083c6370efb3e10725dae8086e09aa986cd83471ba3f593d2e451a3204caf446201fefb0a4b95de3ede4189621ab9277b350c3e4	8cf2be3aa7f64c440e3b64f41547f961

虛擬機

系統	系統位數	VM格式	版本	軟件包	SHA512校驗和	MD5校驗和
CentOS 7	64位	OVA	3.8.2	wazuh3.8.2_6.5.4	89386f5e0a314aef7def25fe6a46f408b014fd112df448a17784684c9ba0a253bcc5caac4e0e7ab3cf3780b8e5b7a8f9682926531cde88b01b6f94bb625160a0	dc40d69a1634271cc270bc5afd9e9539
		OVF	3.8.2	wazuh3.8.2_6.5.4-disk1	a4f85d0fce81ca6020bcc1d8c88de31ec2300ec9ae6f114df225022ecb26ae7208deabe4dfb5ac41f05bc78e22e4d5a8b12311fb3d4b401e8c3fcadfe035e686	00b257363d54d9d62a8ce0b4c1f1a61f
				wazuh3.8.2_6.5.4.ovf	70a283c171dfac191

 

兼容性

Wazuh軟件能夠安裝在許多操做系統中，但根據您的須要，某些系統可能不兼容。此外，不一樣的Wazuh產品之間也有特定的兼容性要求。爲了幫助您，請檢查如下兼容性。

• 操做系統兼容性
• 產品兼容性

操做系統兼容性

manager

下面顯示了Wazuh manger的兼容性表。因爲其穩定性和與Wazuh模塊的徹底兼容性，建議使用CentOS / RHEL 7做爲Wazuh管理器的操做系統。

操做系統	Wazuh版
	3.8.x	3.7.x	3.6.x	3.5.x	3.4.x	3.3.x	3.2.x	3.1.0	3.0.0	2.1.1	2.1.0
Debian Wheezy / 7	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
Debian Jessie / 8	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
Debian Stretch / 9	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
Ubuntu Precise / 12.04	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
Ubuntu Trusty / 14.04	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
Ubuntu Vivid / 15.04	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
Ubuntu Wily / 15.10 *	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
Ubuntu Xenial / 16.04	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
Ubuntu Yakkety / 16.10	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
Ubuntu Zesty / 17.04	✓	✓	✓	✓	✓	✓	✓	✓	✓	✗	✗
Ubuntu Artful / 17.10	✓	✓	✓	✓	✓	✓	✓	✓	✓	✗	✗
Ubuntu Bionic / 18.04	✓	✓	✓	✓	✓	✓	✓	✓	✓	✗	✗
CentOS 5 / RHEL 5 *	✓	✓	✓	✓	✓	✓	✓	✗	✓	✓	✓
CentOS 6 / RHEL 6 **	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
CentOS 7 / RHEL 7	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
Fedora（> = 22）	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓

（*）在這些系統中，Wazuh API不可用。

（**）要在CentOS 6中運行羣集，請查看在CentOS 6中 運行羣集部分

注意:該集羣自Wazuh v3.0起可用，而且在CentOS 5 / RHEL 5上不起做用。

agent

在此表中，您能夠查看咱們支持的操做系統列表，其中能夠安裝Wazuh agent

操做系統

Wazuh版

3.8.x

3.7.x

3.6.x

3.5.0

3.4.0

3.3.1

3.3.0

3.2.4

3.2.3

3.2.2

3.2.1

3.2.0

3.1.0

3.0.0

2.1.x

Debian Wheezy/7 or newer

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

Ubuntu Precise / 12.04或更新版本

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

CentOS 5 / RHEL 5

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

CentOS / RHEL 6或更新版本

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

Fedora 22或更新版本

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

Windows XP 2003或更高版本

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

Windows Server 2008或更高版本

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

Mac OS X.

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

HP-UX 11.31

✓

✓

✓

✓

✓

✓

✗

✗

✓

✓

✓

✓

✓

✓

✓

Solaris 10 - i386

✓

✓

✓

✓

✓

✓

✗

✓

✓

✓

✓

✓

✓

✗

✓

Solaris 11 - i386

✓

✓

✓

✓

✓

✓

✗

✓

✓

✓

✓

✓

✓

✗

✓

Solaris 10 - Sparc

✓

✓

✓

✓

✓

✓

✗

✗

✓

✓

✓

✓

✓

✗

✓

Solaris 11 - Sparc

✓

✓

✓

✓

✓

✓

✗

✗

✓

✓

✓

✓

✓

✗

✓

AIX 5

✓

✓

✓

✓

✓

✓

✗

✗

✓

✓

✓

✓

✓

✗

✓

AIX 6

✓

✓

✓

✓

✓

✓

✗

✓

✓

✓

✓

✓

✓

✗

✓

AIX 7

✓

✓

✓

✓

✓

✓

✗

✓

✓

✓

✓

✓

✓

✗

✓

Suse 11

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

✗

Suse 12

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

✓

Amazon Linux

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

產品兼容性

當使用Wazuh軟件的全棧（這意味着，wazuh-manager，wazuh-agent，wazuh-api和wazuh-app），也有爲了避免同的兼容性要求，使得正常運行。

manager和agent

當agent具備與管manager相同或更舊的版本時，agent和manager之間的兼容性獲得保證。

agent版本

manger版本

3.8.0

3.7.2

3.7.1

3.7.0

3.6.1

3.6.0

3.5.0

3.4.0

3.3.1

3.3.0

3.2.4

3.2.3

3.2.2

3.2.1

3.2.0

3.1.0

3.0.0

2.1.1

2.1.0

3.8.0

✓

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

3.7.2

✓

✓

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

3.7.1

✓

✓

✓

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

3.7.0

✓

✓

✓

✓

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

3.6.1

✓

✓

✓

✓

✓

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

3.6.0

✓

✓

✓

✓

✓

✓

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

3.5.0

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

3.4.0

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

3.3.1

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

3.3.0

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

✗

✗

✗

✗

✗

✗

3.2.4

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

✗

✗

✗

✗

✗

3.2.3

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

✗

✗

✗

✗

3.2.2

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

✗

✗

✗

3.2.1

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

✗

✗

3.2.0

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

✗

3.1.0

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

✗

3.0.0

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

✗

2.1.1

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✗

2.1.0

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

注意：Wazuh manager也與OSSEC agent兼容，但請記住，並不是全部功能均可用。

manger和API

API須要與major.minor manager相同的版本才能兼容。

API版本	Manager 版本
	3.8.x	3.7.x	3.6.x的	3.5.x的	3.4.x	3.3.x	3.2.x中	3.1.X	3.0.x的	2.1.x的
3.8.x	✓	✗	✗	✗	✗	✗	✗	✗	✗	✗
3.7.x	✗	✓	✗	✗	✗	✗	✗	✗	✗	✗
3.6.x的	✗	✗	✓	✗	✗	✗	✗	✗	✗	✗
3.5.x的	✗	✗	✗	✓	✗	✗	✗	✗	✗	✗
3.4.x	✗	✗	✗	✗	✓	✗	✗	✗	✗	✗
3.3.x	✗	✗	✗	✗	✗	✓	✗	✗	✗	✗
3.2.x中	✗	✗	✗	✗	✗	✗	✓	✗	✗	✗
3.1.X	✗	✗	✗	✗	✗	✗	✗	✓	✗	✗
3.0.x的	✗	✗	✗	✗	✗	✗	✗	✗	✓	✗
2.1.x的	✗	✗	✗	✗	✗	✗	✗	✗	✗	✓

API和Kibana應用程序

Kibana的Wazuh應用程序須要兼容兩種不一樣的產品：

• 使用Wazuh API，它須要相同的major.minor版本。
• 使用Elastic Stack，它只與徹底相同的版本兼容。

 

App version	Elastic Stack version	API version
		3.8.x	3.7.x	3.6.x	3.5.x	3.4.x	3.3.x	3.2.x	3.1.x	3.0.x	2.1.1
3.8.x	6.5.4 to 6.6.0	✓	✗	✗	✗	✗	✗	✗	✗	✗	✗
3.7.x	6.4.2 to 6.5.4*	✗	✓	✗	✗	✗	✗	✗	✗	✗	✗
3.6.x	6.3.2 to 6.4.3*	✗	✗	✓	✗	✗	✗	✗	✗	✗	✗
3.5.x	6.3.2 to 6.4.0*	✗	✗	✗	✓	✗	✗	✗	✗	✗	✗
3.4.x	6.3.1 to 6.3.2*	✗	✗	✗	✗	✓	✗	✗	✗	✗	✗
3.3.x	6.2.4 to 6.3.1*	✗	✗	✗	✗	✗	✓	✗	✗	✗	✗
3.2.x	6.1.0 to 6.2.4*	✗	✗	✗	✗	✗	✗	✓	✗	✗	✗
3.1.x	6.1.0 to 6.1.3*	✗	✗	✗	✗	✗	✗	✗	✓	✗	✗
3.0.x	6.0.0 to 6.1.0*	✗	✗	✗	✗	✗	✗	✗	✗	✓	✗
2.1.1	5.6.5	✗	✗	✗	✗	✗	✗	✗	✗	✗	✓

 

（*）在這些Wazuh應用程序版本中，Elastic Stack有不一樣的兼容版本。

您能夠在Kibana存儲庫中找到有關Wazuh應用程序的更多信息，您能夠在其中查看Wazuh應用程序和Elastic Stack版本之間更詳細的兼容性.

API和Splunk應用程序

Wazuh的Splunk應用程序須要兼容兩種不一樣的產品：

• 使用Wazuh API，它須要相同的major.minor版本。
• 使用Splunk，它只與徹底相同的版本兼容。

App version	Splunk version	API version
		3.8.x	3.7.x	3.6.x	3.5.x	3.4.x	3.3.x	3.2.x	3.1.x	3.0.x	2.1.1
3.8.x	7.2.3	✓	✗	✗	✗	✗	✗	✗	✗	✗	✗
3.7.x	7.2.0 to 7.2.1*	✗	✓	✗	✗	✗	✗	✗	✗	✗	✗
3.6.x	7.1.2 to 7.1.3*	✗	✗	✓	✗	✗	✗	✗	✗	✗	✗
3.5.x	7.1.2	✗	✗	✗	✓	✗	✗	✗	✗	✗	✗
3.4.x	7.1.2	✗	✗	✗	✗	✓	✗	✗	✗	✗	✗
3.3.x	7.1.1	✗	✗	✗	✗	✗	✓	✗	✗	✗	✗
3.2.x	7.0.3 to 7.1.1*	✗	✗	✗	✗	✗	✗	✓	✗	✗	✗

（*）在這些Wazuh應用程序版本中，Splunk有不一樣的兼容版本。

您能夠在Wazuh應用程序存儲庫中找到更多信息，您能夠在其中查看用於Wazuh和Splunk版本的Splunk應用程序之間的更詳細的兼容性.