Introduction Wazuh server

Le serveur Wazuh peut être installé sur un seul nœud ou en tant que cluster à plusieurs nœuds.

L'installation à un seul nœud sera effectuée sur un seul hôte où seront installés le gestionnaire Wazuh, l'API Wazuh et Filebeat. L'installation multi-noeuds consiste en l'installation de plusieurs nœuds de serveur Wazuh dans différents hôtes qui communiqueront entre eux. Ce type d'installation assure une haute disponibilité et un équilibrage de charge.

Wazuh sur un seul nœud

Ce document passera par l'installation des composants du serveur Wazuh et de Filebeat sur un nœud unique.

Note:

Les privilèges root sont nécessaires pour exécuter toutes les commandes décrites ci-dessous.

Conditions préalables

Avant d'installer le serveur Wazuh et Filebeat, quelques paquets supplémentaires doivent être installés :

Installez tous les paquets nécessaires à l'installation : 

# yum install curl

Installation Wazuh Manager

Le serveur Wazuh collecte et analyse les données des agents Wazuh déployés. Il fait fonctionner le gestionnaire Wazuh, l'API Wazuh et Filebeat.

La première étape de la mise en place de Wazuh consiste à ajouter le dépôt au serveur.

Ajout du dépôt Wazuh

Importer la clé GPG 

# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH

Ajout du repository “Wazuh” 

# cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF

Installation de Wazuh manager

Installer le package suivant : 

# yum install wazuh-manager

Activez et démarrez le service Wazuh manager : 

# systemctl daemon-reload
# systemctl enable wazuh-manager
# systemctl start wazuh-manager
 
Lancer la commande suivantes pour vérifier l'état du service.
<code bash>
# systemctl status wazuh-manager

Installation de Filebeat

Filebeat est l'outil sur le serveur Wazuh qui transmet de manière sécurisée les alertes et les événements archivés à Elasticsearch.

Installation et configuration de Filebeat

Installez le paquet Filebeat : 

# yum install filebeat

Téléchargez le fichier pré-configuré Filebeat utilisé pour transmettre les alertes Wazuh à Elasticsearch 

# curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh-documentation/4.0/resources/open-distro/filebeat/7.x/filebeat.yml

Téléchargez le modèle d'alerte pour Elasticsearch 

# curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.0/extensions/elasticsearch/7.x/wazuh-template.json
# chmod go+r /etc/filebeat/wazuh-template.json

Téléchargez le module Wazuh pour Filebeat 

# curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module

Editer le fichier “/etc/filebeat/filebeat.yml

output.elasticsearch:
  hosts: ["<elasticsearch_ip>:9200"]

Note:

Remplacez elasticsearch_ip par l'adresse IP ou le nom d'hôte du serveur Elasticsearch.

Lors de l'installation d'Elasticsearch, le fichier certs.tar a été créé. Le présent guide suppose qu'une copie de ce fichier a été placée dans le dossier racine (~/). Nous allons configurer les certificats pour Filebeat 

# mkdir /etc/filebeat/certs
# mv ~/certs.tar /etc/filebeat/certs/
# cd /etc/filebeat/certs/
# tar -xf certs.tar filebeat.pem filebeat.key root-ca.pem

Activez et démarrez le service Filebeat 

# systemctl daemon-reload
# systemctl enable filebeat
# systemctl start filebeat

Pour vous assurer que Filebeat a été installé avec succès, exécutez la commande suivante. 

# filebeat test output
elasticsearch: https://10.75.168.113:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 10.75.168.113
    dial up... OK
  TLS...
    security: server's certificate chain verification is enabled
    handshake... OK
    TLS version: TLSv1.3
    dial up... OK
  talk to server... OK
  version: 7.9.1
elasticsearch: https://10.75.168.114:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 10.75.168.114
    dial up... OK
  TLS...
    security: server's certificate chain verification is enabled
    handshake... OK
    TLS version: TLSv1.3
    dial up... OK
  talk to server... OK
  version: 7.9.1
elasticsearch: https://10.75.168.115:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 10.75.168.115
    dial up... OK
  TLS...
    security: server's certificate chain verification is enabled
    handshake... OK
    TLS version: TLSv1.3
    dial up... OK
  talk to server... OK
  version: 7.9.1

Annexe

https://documentation.wazuh.com/4.0/installation-guide/open-distro/distributed-deployment/step-by-step-installation/wazuh-cluster/wazuh_single_node_cluster.html

Ce site web utilise des cookies. En utilisant le site Web, vous acceptez le stockage de cookies sur votre ordinateur. Vous reconnaissez également que vous avez lu et compris notre politique de confidentialité. Si vous n'êtes pas d'accord, quittez le site.En savoir plus