在本教程中,您将学习如何在 Rocky Linux 8 上安装 Wazuh 代理。我们之前的设置是在 Rocky Linux 上使用 ELK 设置 Wazuh 服务器。 Wazuh 代理是多平台的,运行在用户想要监控的主机上。 它与 Wazuh 管理器通信,通过经过加密和验证的通道近乎实时地发送数据。
在我们之前的指南中,我们学习了如何在 Rocky Linux 8 上安装 Wazuh 服务器。
在 Rocky Linux 8 上安装 Wazuh 服务器
在 Rocky Linux 8 上安装 Wazuh 代理
在本教程中,我们将在另一个 Rocky Linux 8 桌面中安装 Wazuh 代理,该桌面充当我们收集日志的端点。
创建 Wazuh 存储库
运行以下命令在 Rocky Linux 8 上创建 Wazuh 4.x 存储库。
cat > /etc/yum.repos.d/wazuh.repo << 'EOL' [wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/4.x/yum/ protect=1 EOL
导入 Wazuh 存储库 GPG 密钥
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
在 Rocky Linux 8 上安装 Wazuh 代理
存储库就位后,您可以通过运行以下命令来安装 Wazuh 代理;
dnf -y install wazuh-agent
安装现已完成。
您还可以从命令行指定 Wazuh 管理器。 适当更换IP。
WAZUH_MANAGER="192.168.60.19" dnf install wazuh-agent
下一步是使代理能够与经理进行通信。
在 Wazuh 服务器上添加 Wazuh Agent
登录 Wazuh 经理,然后运行以下命令将代理添加到服务器。
/var/ossec/bin/manage_agents
Wazuh v4.1.5 Agent manager. * The following options are available: * (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: A
选择添加代理 (A) 并按 Enter。
提供代理的名称(在我们的例子中为 RockyLinux8Desktop)和代理的 IP 并确认。
- Adding a new agent (use 'q' to return to the main menu). Please provide the following: * A name for the new agent: RockyLinux8Desktop * The IP Address of the new agent: 192.168.60.18 Confirm adding it?(y/n): y Agent added with ID 001.
请注意提供给代理的 ID, 001,在我们的例子中。
如果您想添加更多代理,请这样做。
要从命令行自动添加代理 Wazuh,只需使用以下命令;
/var/ossec/bin/manage_agents -a <agent_IP> -n <agent_name>
例如,添加第二个代理到Wazuh服务器;
/var/ossec/bin/manage_agents -a 192.168.60.20 -n Ubuntu20
样本输出;
**************************************** * Wazuh v4.1.5 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: - Adding a new agent (use 'q' to return to the main menu). Please provide the following: * A name for the new agent: * The IP Address of the new agent: Confirm adding it?(y/n): Agent added with ID 002. manage_agents: Exiting.
您可以使用以下命令列出代理;
/var/ossec/bin/manage_agents -l
样本输出;
Available agents:
ID: 001, Name: RockyLinux8Desktop, IP: 192.168.60.18
ID: 002, Name: Ubuntu20, IP: 192.168.60.20注册 Wazuh 代理商
要使代理与管理器通信,您需要从服务器注册代理密钥并将其安装在代理上。
您可以通过两种方式注册 Wazuh 代理。
- 手动注册 Wazuh Agent
- 自动 Wazuh 代理注册
手动 Wazuh 代理注册
要手动注册 Wazuh 代理,请登录服务器并提取特定 Wazuh 代理的注册密钥。 您可以使用 /var/ossec/bin/manage_agents 手动或自动命令,如下所示;
手动代理密钥提取;
/var/ossec/bin/manage_agents
命令运行时,选择选项 E 并指定代理 ID 并按 Enter.
**************************************** * Wazuh v4.1.5 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: E Available agents: ID: 001, Name: RockyLinux8Desktop, IP: 192.168.60.18 ID: 002, Name: Ubuntu20, IP: 192.168.60.20 Provide the ID of the agent to extract the key (or 'q' to quit): 001 Agent key information for '001' is: MDAxIFJvY2t5TGludXg4RGVza3RvcCAxOTIuMTY4LjYwLjE4IDhmYjY5OGNjMTRmMGI4Zjg1NjIxZDk2ODgxOTM1M2JkODA5ZTE3NTRiZjA5MGQ4NTdlY2E5ZjgxZmEzMDBjMzM= ** Press ENTER to return to the main menu. ...
自动代理密钥提取:
/var/ossec/bin/manage_agents -e <agent-id>
例如:
/var/ossec/bin/manage_agents -e 001
样本输出;
Agent key information for '001' is: MDAxIFJvY2t5TGludXg4RGVza3RvcCAxOTIuMTY4LjYwLjE4IDhmYjY5OGNjMTRmMGI4Zjg1NjIxZDk2ODgxOTM1M2JkODA5ZTE3NTRiZjA5MGQ4NTdlY2E5ZjgxZmEzMDBjMzM=复制密钥并将其粘贴到可访问的位置,因为我们将在下一步中使用。
在Wazuh Agent上设置Wazuh Server地址
在 中介, 编辑文件 /var/ossec/etc/ossec.conf 并添加 Wazuh 管理器 IP/可解析主机名。
vim /var/ossec/etc/ossec.conf
... <ossec_config> <client> <server> <address>192.168.60.19</address> <port>1514</port> <protocol>tcp</protocol> </server> ...Save 并退出
导入上面提取的 Wazuh Agent Key
/var/ossec/bin/manage_agents
按 I 导入先前从管理器生成的密钥。
**************************************** * Wazuh v4.1.5 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: I * Provide the Key generated by the server. * The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or 'q' to quit): MDAxIFJvY2t5TGludXg4RGVza3RvcCAxOTIuMTY4LjYwLjE4IDhmYjY5OGNjMTRmMGI4Zjg1NjIxZDk2ODgxOTM1M2JkODA5ZTE3NTRiZjA5MGQ4NTdlY2E5ZjgxZmEzMDBjMzM= Agent information: ID:001 Name:RockyLinux8Desktop IP Address:192.168.60.18 Confirm adding it?(y/n): y Added. ...
退出并重新启动代理。
/var/ossec/bin/ossec-control restart
自动 Wazuh 代理注册
使用自动代理注册,在 Wazuh 代理服务器上运行以下命令。
/var/ossec/bin/agent-auth -m 192.168.60.19 -A RockyLinux8Desktop -I 192.168.60.18
咨询 /var/ossec/bin/agent-auth -h 有关使用的命令行选项的更多信息。
命令的示例输出;
2021/07/10 15:51:15 agent-auth: INFO: Started (pid: 19633). 2021/07/10 15:51:15 agent-auth: INFO: Requesting a key from server: 192.168.60.19 2021/07/10 15:51:15 agent-auth: INFO: No authentication password provided 2021/07/10 15:51:15 agent-auth: INFO: Using agent name as: RockyLinux8Desktop 2021/07/10 15:51:15 agent-auth: INFO: Waiting for server reply 2021/07/10 15:51:15 agent-auth: INFO: Valid key received
重启Wazuh代理;
systemctl restart wazuh-agent
列出 Wazuh 服务器上的活跃 Wazuh 代理
在 Wazuh 服务器上运行以下命令以检查代理状态;
/var/ossec/bin/agent_control -l
Wazuh agent_control. List of available agents: ID: 000, Name: localhost.localdomain (server), IP: 127.0.0.1, Active/Local ID: 001, Name: RockyLinux8Desktop, IP: 192.168.60.18, Active ID: 002, Name: Ubuntu20, IP: 192.168.60.20, Never connected List of agentless devices:在 Kibana 上验证代理数据接收
代理注册完成。
检查代理现在是否处于活动状态。 请注意,我们在此设置中仅连接了一个代理。
要查看更多信息,请单击 主动代理 选项。
导航 Wazuh>模块>安全事件 查看与安全相关的事件和仪表板。
您可以探索有关模块的更多信息,例如审计和策略监控、法规遵从性以及威胁检测和响应。
关于如何在 Rocky Linux 8 上安装 Wazuh 代理的指南到此结束。
参考
Wazuh 代理安装
在 Rocky Linux 8 上安装 OSSEC 代理
在 Rocky Linux 8 上安装 Nagios NRPE 代理
在 Ubuntu/Debian 上安装 Wazuh 代理的简单方法
