Alternatif Kurulumlar

Wazuh'u diğer dağıtım seçeneklerini kullanarak yükleyebilirsiniz. Bunlar, Kurulum kılavuzunda ve Hızlı Başlangıç'ta bulabileceğiniz kurulum yöntemlerine tamamlayıcıdır .

Sanal Makine (OVA)

Wazuh, Open Virtual Appliance (OVA) formatında önceden oluşturulmuş bir sanal makine görüntüsü sağlar. Bu, doğrudan VirtualBox'a veya diğer OVA uyumlu sanallaştırma sistemlerine aktarılabilir. Bu VM'nin yalnızca 64 bit sistemlerde çalıştığını unutmayın. Kutudan çıktığı anda yüksek kullanılabilirlik ve ölçeklenebilirlik sağlamaz. Ancak bunlar dağıtılmış dağıtım kullanılarak uygulanabilir .

Aşağıdaki bileşenleri içeren sanal cihazı (OVA) indirin :

Paket Listesi

Dağıtım

Mimarlık

VM Biçimi

Sürüm

Paket

Amazon Linux 2

64 bit

OVA

4.9.2

wazuh-4.9.2.ova ( sha512 )

Donanım Gereksinimleri

Wazuh VM'nin bir ana işletim sistemine aktarılabilmesi için aşağıdaki gereksinimlerin karşılanması gerekir:

Wazuh VM, kutudan çıktığı haliyle aşağıdaki özelliklerle yapılandırılmıştır:

Bileşen

CPU (çekirdekler)

RAM (GB)

Depolama (GB)

Wazuh v4.9.2 OVA

4

8

50

Ancak bu donanım yapılandırması, korunan uç nokta sayısına ve dizinlenmiş uyarı verilerine bağlı olarak değiştirilebilir. Gereksinimler hakkında daha fazla bilgi burada bulunabilir .

Sanal Makineyi İçe Aktarın ve Erişin

  1. OVA’yı sanallaştırma platformuna aktarın.

  2. VirtualBox kullanıyorsanız, VMSVGAgrafik denetleyicisini ayarlayın. Başka bir grafik denetleyicisi ayarlamak VM penceresini dondurur.

    1. İçeri aktarılan VM'yi seçin.

    2. Ayarlar > Görüntüle'ye tıklayın

    3. Grafik denetleyicide seçeneğini seçin VMSVGA.

  3. Makineyi çalıştırın.

  4. Aşağıdaki kullanıcı adı ve parolayı kullanarak sanal makineye erişin. Sanallaştırma platformunu kullanabilir veya SSH üzerinden erişebilirsiniz.

    user: wazuh-user
    password: wazuh

    SSH rootkullanıcı girişi devre dışı bırakıldı; ancak wazuh-usersudo ayrıcalıkları korunuyor. Kök ayrıcalık yükseltmesi aşağıdaki komutu çalıştırarak gerçekleştirilebilir:

    sudo -i

     

Wazuh Dashboard'a Erişin

VM başlatıldıktan kısa bir süre sonra, Wazuh panosuna aşağıdaki kimlik bilgilerini kullanarak web arayüzünden erişilebilir:

URL: https://<wazuh_server_ip>
user: admin
password: admin

<wazuh_server_ip> Aşağıdaki komutu VM'de yazarak bulabilirsiniz :

ip a


Yapılandırma Dosyaları

Bu sanal görüntüde bulunan tüm bileşenler, herhangi bir ayarı değiştirmeye gerek kalmadan, kutudan çıktığı gibi çalışacak şekilde yapılandırılmıştır. Ancak, tüm bileşenler tamamen özelleştirilebilir. Yapılandırma dosyalarının konumları şunlardır:

  • Wazuh yöneticisi:/var/ossec/etc/ossec.conf

  • Wazuh indeksleyici:/etc/wazuh-indexer/opensearch.yml

  • Filebeat-OSS:/etc/filebeat/filebeat.yml

  • Wazuh gösterge paneli:

    • /etc/wazuh-dashboard/opensearch_dashboards.yml

    • /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml

VirtualBox Zaman Yapılandırması

VirtualBox kullanılması durumunda, sanal makine içe aktarıldığında, VirtualBox konuk makinenin saatini senkronize ettiğinde zaman kaymasından kaynaklanan sorunlarla karşılaşılabilir. Bu durumdan kaçınmak için, sanal makine yapılandırmasının sekmesindeki seçeneği etkinleştirin.Hardware Clock in UTC TimeSystem

Not:  Varsayılan olarak, ağ arabirimi türü Bridged Adapter olarak ayarlanır. VM, ağ DHCP sunucusundan bir IP adresi almaya çalışır. Alternatif olarak, VM'nin dayandığı Amazon Linux işletim sistemindeki uygun ağ dosyalarını yapılandırarak statik bir IP adresi ayarlanabilir.

Sanal makine içe aktarılıp çalıştırıldıktan sonraki adım, izlenecek sistemlere Wazuh aracılarını dağıtmaktır .

VM'yi Yükseltme

Sanal makine geleneksel kurulum gibi yükseltilebilir:

Amazon Makine Görüntüleri (AMI)

Wazuh önceden oluşturulmuş bir Amazon Makine Görüntüsü (AMI) sağlar. Bir AMI, Amazon Elastic Compute Cloud (Amazon EC2) içinde sanal bir bilgi işlem ortamı oluşturmak için kullanıma hazır, önceden yapılandırılmış bir şablondur. En son Wazuh AMI paketleri, Amazon Linux 2'yi Wazuh sunucunuz için aşağıdaki merkezi bileşenlerle bir araya getirir:

Paket Listesi

Dağıtım

Mimarlık

VM Biçimi

Son sürüm

Ürün sayfası

Amazon Linux 2

64 bit

AWS AMI

4.9.2

Wazuh Hepsi Bir Arada Dağıtım

Dağıtım Alternatifleri

Bir Wazuh örneğini dağıtmak için iki alternatif vardır. Wazuh All-In-One Deployment AMI'yi doğrudan AWS Marketplace'ten başlatabilir veya AWS Management Console'u kullanarak bir örneği yapılandırabilir ve dağıtabilirsiniz.

Not: Wazuh Danışmanlık Hizmeti AWS Marketplace'te de mevcuttur. Wazuh'un sunduğu Profesyonel Hizmet paketlerini kontrol edin.

AWS Marketplace'ten Bir Örnek Başlatın

  1. AWS Marketplace'teki Wazuh All-In-One Dağıtımına gidin ve ardından Abone Olmaya Devam Et'e tıklayın .
  2. Bilgileri inceleyin ve yazılım için şartları kabul edin. Sunucu ürünümüze aboneliğinizi onaylamak için Yapılandırmaya Devam Et'e tıklayın.

  3. Bir Yazılım Sürümü ve örneğin dağıtılacağı Bölgeyi seçin. Ardından Başlatmaya Devam Et'e tıklayın .

  4. Yazılımı başlatmadan önce yapılandırmanızı gözden geçirin ve tüm ayarların doğru olduğundan emin olun. Varsayılan yapılandırma değerlerini ihtiyaçlarınıza göre uyarlayın.

    1. EC2 Örnek Türünü seçerken bir örnek türü kullanmanızı öneririz c5a.xlarge.

    2. Güvenlik Grubunu seçerken , doğru işlemi garantilemek için Wazuh örneğiniz için uygun ayarlara sahip olması gerekir . Satıcı ayarlarına göre yeni oluştur'u seçerek yeni bir güvenlik grubu oluşturabilirsiniz . Bu yeni grup varsayılan olarak uygun ayarlara sahip olacaktır.

  5. Örneği oluşturmak için Başlat'a tıklayın .

Örneğiniz başarıyla başlatıldıktan ve birkaç dakika geçtikten sonra Wazuh kontrol paneline erişebilirsiniz .

AWS Yönetim Konsolu'nu Kullanarak Bir Örneği Dağıtın

  1. AWS Yönetim Konsolu panonuzdan Örneği başlat'ı seçin .

  2. Wazuh Inc. tarafından sunulan Wazuh All-In-One Deployment'ı bulun ve abone olmak için Seç'e tıklayın .

  3. Sunucu ürün özelliklerini inceleyin, ardından Devam'a tıklayın . Bu, Sunucu ürünümüze abone olmanızı sağlar.

  4. İhtiyaçlarınıza göre örnek türünü seçin ve ardından İleri: Örnek Ayrıntılarını Yapılandır'a tıklayın . Bir örnek türü kullanmanızı öneririz c5a.xlarge.

  5. Örneğinizi gerektiği gibi yapılandırın ve ardından İleri: Depolama Ekle'ye tıklayın .

  6. Örneğinizin depolama kapasitesini Boyut (GiB) sütunu altında ayarlayın ve ardından İleri: Etiket Ekle'ye tıklayın . 100 GiB GP3 veya daha fazlasını öneririz.

  7. İhtiyacınız kadar etiket ekleyin ve ardından İleri: Güvenlik Grubunu Yapılandır'a tıklayın .

  8. Portların ve protokollerin Wazuh için portlar ve protokoller olduğunu kontrol edin . Örneğiniz için güvenlik önlemlerini kontrol edin. Bu, Güvenlik Grubunu (SG) kuracaktır. Ardından, İncele ve Başlat'a tıklayın .

  9. Örnek yapılandırmasını gözden geçirin ve Başlat'a tıklayın .

  10. Anahtar çifti ayarlarıyla ilgili olarak mevcut üç yapılandırma alternatifinden birini seçin: Mevcut bir anahtar çifti seçin , Yeni bir anahtar çifti oluşturun , Anahtar çifti olmadan devam edin . Örneğe SSH ile erişmek için mevcut bir anahtar çifti seçmeniz veya yeni bir tane oluşturmanız gerekir.

  11. İşlemi tamamlamak ve örneğinizi dağıtmak için Örnekleri başlat'a tıklayın .

Örneğiniz tamamen yapılandırılıp lansmandan birkaç dakika sonra hazır hale geldiğinde Wazuh kontrol paneline erişebilirsiniz .

Yapılandırma Dosyaları

Bu AMI'de bulunan tüm bileşenler, herhangi bir ayarı değiştirmeye gerek kalmadan kullanıma hazır şekilde yapılandırılır. Ancak, tüm bileşenler tamamen özelleştirilebilir. Yapılandırma dosyalarının konumları şunlardır.

Wazuh'u yapılandırma hakkında daha fazla bilgi edinmek için Kullanım kılavuzuna bakın .

Wazuh Dashboard'a Erişin

Örnek başlatıldığında, kullanıcı parolaları otomatik olarak ilk harfi büyük olan örnek kimliğine değiştirilir. Örneğin: I-07f25f6afe4789342. Bu, yalnızca oluşturucunun arayüze erişebilmesini sağlar. Bu işlem, örneğin türüne bağlı olarak ortalama beş dakika sürebilir. Bu süre zarfında, hem SSH erişimi hem de Wazuh panosuna erişim devre dışı bırakılır.

Örnek çalışmaya başladıktan ve parola başlatma işlemi tamamlandıktan sonra kimlik bilgilerinizle Wazuh kontrol paneline erişebilirsiniz.

Not:  Şifre ilk harfi büyük olan örnek kimliğidir. Örneğin: I-07f25f6afe4789342.

Uyarı:  Sunucu API kullanıcıları için parola wazuh, kullanıcının parolasıyla wazuh-wuiaynıdır admin. İlk SSH erişiminde varsayılan parolaları değiştirmenizi şiddetle öneririz. Bu işlemi gerçekleştirmek için Parola yönetimi bölümüne bakın.

SSH ile İlgili Güvenlik Hususları

Sonraki Adımlar

Wazuh AMI artık hazır ve izlenecek sistemlere Wazuh ajanlarını dağıtmaya başlayabilirsiniz .

AMI'yi Yükseltme

Wazuh merkezi bileşenlerinin nasıl yükseltileceğine ilişkin talimatları izleyin.

Docker'da Dağıtım

Bu bölümde Wazuh'un Docker'a kurulum süreci ayrıntılı olarak anlatılmaktadır. Docker, yazılım kapsayıcıları içinde uygulama oluşturmak, sunmak ve çalıştırmak için açık bir platformdur. Docker kapsayıcıları, çalıştırmak için gereken her şeyi içeren yazılımları paketler: kod, çalışma zamanı, sistem araçları, sistem kitaplıkları ve ayarlar. Docker, uygulamaları altyapıdan ayırmayı sağlar. Bu, kapsayıcının çalıştığı ortamdan bağımsız olarak uygulamanın her zaman aynı şekilde çalışmasını garanti eder. Kapsayıcılar bulutta veya şirket içinde çalışır. wazuh/wazuh-managerWazuh'u , wazuh/wazuh-indexerve gibi oluşturduğumuz Docker görüntülerini kullanarak yükleyebilirsiniz . Tüm Wazuh Docker görüntülerini Docker hub'ındawazuh/wazuh-dashboard bulabilirsiniz . Docker kurulumu bölümünde , Docker'ın nasıl kurulacağını görebilirsiniz. Wazuh'un Docker'a nasıl kurulacağını Wazuh Docker dağıtımında bulabilirsiniz . Hizmetlere ve kapsayıcılara nasıl erişeceğinizi, veri birimlerini nasıl yöneteceğinizi ve bir kabuğu nasıl çalıştıracağınızı öğrenmek için Wazuh Docker yardımcı programları bölümünü okuyun. Son olarak, SSS bölümünde bazı sık sorulan soruların yanıtlarını bulabilirsiniz .

Docker'da Dağıtım

Docker Kurulumu

Yapmanız gereken ilk şey, Docker ve Docker compose'u çalıştırmak için gereken gereksinimlere sahip bir sistem kurmaktır. Daha sonra, henüz yoksa Docker ve Docker compose'u yükleyin.

Not:  Aşağıda açıklanan tüm komutları çalıştırmak için root kullanıcı ayrıcalıklarına ihtiyacınız var.

Gereksinimler

Konteyner Belleği  

Docker ana bilgisayarını en az 6 GB bellekle yapılandırmanızı öneririz. Dağıtım ve kullanıma bağlı olarak, Wazuh dizinleyici bellek tüketimi değişir. Bu nedenle, tam bir yığın dağıtımının düzgün çalışması için önerilen belleği ayırın.

Sunucunuzdaki max_map_count'u Artırın (Linux)

Wazuh indeksleyicisi birçok bellek eşlemeli alan oluşturur. Bu yüzden çekirdeği bir işleme en az 262.144 bellek eşlemeli alan verecek şekilde ayarlamanız gerekir.

  1. max_map_countDocker hostunuzdaki artışı artırın:

    sysctl -w vm.max_map_count=262144
  2. vm.max_map_countBu değeri kalıcı olarak ayarlamak için ayarı güncelleyin /etc/sysctl.conf. Yeniden başlattıktan sonra doğrulamak için “sysctl vm.max_map_count” çalıştırın.

    Uyarı:  Eğer hostunuzda ayarlamazsanız max_map_count, Wazuh indeksleyicisi düzgün çalışmayacaktır.

     

Docker Motoru

Linux/Unix makineleri için Docker, çekirdek sürümü 3.10 veya üzeri olan bir amd64 mimari sistemine ihtiyaç duyar.

  1. Bir terminal açın ve çekirdek sürümünüzü görüntülemek ve kontrol etmek için şunu kullanın: uname -r


    uname -r
    Output
    3.10.0-229.el7.x86_64
  2. Docker kurulum betiğini çalıştırın:

    Ubuntu/Debian Makinelerinde 

    curl -sSL https://get.docker.com/ | sh

    CentOS Makinelerinde

    yum install -y yum-utils
    yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
    yum install docker-ce docker-ce-cli containerd.io docker-compose-plugin

    Amazon Linux 2 Makinede

    yum update -y
    yum install docker
  3. Docker servisini başlatın:

    Systemd

    systemctl start docker

    SysV Başlatma

    service docker start


Not:  Docker'ı kök olmayan bir kullanıcı olarak kullanmak istiyorsanız, kullanıcınızı dockeraşağıdakine benzer bir komutla gruba eklemelisiniz: . Bunun etkili olması için oturumu kapatıp tekrar oturum açın.usermod -aG docker your-user

Docker Oluşturma

Wazuh Docker dağıtımı Docker Compose 1.29 veya üzerini gerektirir. Yüklemek için şu adımları izleyin:

  1. Docker Compose ikili dosyasını indirin:

    curl -L "https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
  2. Yürütme izinlerini verin:

    chmod +x /usr/local/bin/docker-compose
  3. Her şeyin yolunda olduğundan emin olmak için kurulumu test edin:

    docker-compose --version
    Output
    Docker Compose version v2.12.2

    Not: Kurulumdan sonra komut başarısız olursa . Yolunuzdaki herhangi bir dizine veya başka bir dizine docker-composesembolik bir bağlantı oluşturun :/usr/binln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

     


Docker'da Dağıtım

Wazuh Docker Dağıtımı

Kullanım

Wazuh'u tek düğümlü veya çok düğümlü bir yığın olarak dağıtabilirsiniz.

Her iki dağıtım da kalıcılığı kullanır ve düğümler arasındaki iletişimleri güvence altına almak için sertifikaların yapılandırılmasına izin verir. Çok düğümlü yığın, yüksek kullanılabilirlik içeren tek dağıtımdır.

Tek Düğüm Dağıtımı

  1. Wazuh deposunu sisteminize kopyalayın:

    git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.2

    Daha sonra aşağıda anlatılan tüm komutları çalıştırmak için single-node dizine girin.

  2. Yığındaki her düğüm için bir sertifika grubu sağlayarak düğümler arasındaki iletişimi güvence altına alın. Bu sertifikaları sağlamak için iki alternatifiniz var:

    • Her küme düğümü için kendi kendine imzalanmış sertifikalar oluşturun.

      Wazuh sertifika oluşturma aracını kullanarak sertifika oluşturmayı otomatikleştirmek için bir Docker imajı oluşturduk.

      Sisteminiz bir proxy kullanıyorsa, dosyaya aşağıdakileri ekleyin generate-indexer-certs.yml. Kullanmıyorsa, bu adımı atlayın:

      environment:
        - HTTP_PROXY=YOUR_PROXY_ADDRESS_OR_DNS

      Tamamlanmış bir örnek şu şekildedir:

      # Wazuh App Copyright (C) 2017 Wazuh Inc. (License GPLv2)
      version: '3'
      
      services:
        generator:
          image: wazuh/wazuh-certs-generator:0.0.2
          hostname: wazuh-certs-generator
          volumes:
            - ./config/wazuh_indexer_ssl_certs/:/certificates/
            - ./config/certs.yml:/config/certs.yml
          environment:
            - HTTP_PROXY=YOUR_PROXY_ADDRESS_OR_DNS
      

      İstenilen sertifikaları almak için aşağıdaki komutu çalıştırın:

      docker-compose -f generate-indexer-certs.yml run --rm generator

      Bu sertifikaları dizine kaydeder config/wazuh_indexer_ssl_certs.

    • Her düğüm için kendi sertifikalarınızı sağlayın.

      Eğer kendi sertifikalarınız varsa, bunları dizinde aşağıdaki şekilde sağlayın config/wazuh_indexer_ssl_certs:

      Wazuh indexer:

      config/wazuh_indexer_ssl_certs/root-ca.pem
      config/wazuh_indexer_ssl_certs/wazuh.indexer-key.pem
      config/wazuh_indexer_ssl_certs/wazuh.indexer.pem
      config/wazuh_indexer_ssl_certs/admin.pem
      config/wazuh_indexer_ssl_certs/admin-key.pem
      

      Wazuh manager:

      config/wazuh_indexer_ssl_certs/root-ca-manager.pem
      config/wazuh_indexer_ssl_certs/wazuh.manager.pem
      config/wazuh_indexer_ssl_certs/wazuh.manager-key.pem
      

      Wazuh dashboard:

      config/wazuh_indexer_ssl_certs/wazuh.dashboard.pem
      config/wazuh_indexer_ssl_certs/wazuh.dashboard-key.pem
      config/wazuh_indexer_ssl_certs/root-ca.pem
      
  3. docker-compose kullanarak Wazuh tek düğümlü dağıtımını başlatın:

    • Ön Plan :

      docker-compose up
    • Arka plan :

      docker-compose up -d

    Wazuh panosu için varsayılan kullanıcı adı ve parola admin ve SecretPassword'dir . Ek güvenlik için, Wazuh dizinleyici yönetici kullanıcısı için varsayılan parolayı değiştirebilirsiniz .

Not:  Wazuh dizinleyicisinin ne zaman çalıştığını bilmek için Wazuh gösterge paneli kapsayıcısı curlWazuh dizinleyici API'sine birden fazla sorgu çalıştırmak için kullanılır. Wazuh dizinleyicisi başlatılana kadar birkaç günlük Failed to connect to Wazuh indexer port 9200 mesajı veya " Wazuh gösterge paneli sunucusu henüz hazır değil " mesajı görmeyi bekleyebilirsiniz. Ardından kurulum süreci normal şekilde devam eder. Wazuh dizinleyicisinin başlatılması yaklaşık 1 dakika sürer. Varsayılan Wazuh dizinleyici kimlik bilgilerini docker-compose.yml dosyada bulabilirsiniz .

Çoklu Düğüm Dağıtımı

  1. Wazuh deposunu sisteminize kopyalayın:

    git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.2

    multi-nodeDaha sonra aşağıda anlatılan tüm komutları çalıştırmak için dizine girin.

  2. Yığındaki her düğüm için bir sertifika grubu sağlayarak düğümler arasındaki iletişimleri güvence altına alın. Bu sertifikaları sağlamak için iki alternatifiniz var:

    • Her küme düğümü için kendi kendine imzalanmış sertifikalar oluşturun.

      Wazuh sertifika oluşturma aracını kullanarak sertifika oluşturmayı otomatikleştirmek için bir Docker imajı oluşturduk.

      Sisteminiz bir proxy kullanıyorsa, dosyaya aşağıdakileri ekleyin generate-indexer-certs.yml. Kullanmıyorsa, bu adımı atlayın:

      environment:
        - HTTP_PROXY=YOUR_PROXY_ADDRESS_OR_DNS

      Tamamlanmış bir örnek şu şekildedir:

      # Wazuh App Copyright (C) 2017 Wazuh Inc. (License GPLv2)
      version: '3'
      
      services:
        generator:
          image: wazuh/wazuh-certs-generator:0.0.2
          hostname: wazuh-certs-generator
          volumes:
            - ./config/wazuh_indexer_ssl_certs/:/certificates/
            - ./config/certs.yml:/config/certs.yml
          environment:
            - HTTP_PROXY=YOUR_PROXY_ADDRESS_OR_DNS
      

      İstenilen sertifikaları almak için aşağıdaki komutu çalıştırın:

      docker-compose -f generate-indexer-certs.yml run --rm generator

      Bu sertifikaları dizine kaydeder config/wazuh_indexer_ssl_certs.

    • Her düğüm için kendi sertifikalarınızı sağlayın.

      Eğer kendi sertifikalarınız varsa, bunları aşağıdaki şekilde temin edin:

      Wazuh indeksleyicisi :

      config/wazuh_indexer_ssl_certs/root-ca.pem
      config/wazuh_indexer_ssl_certs/wazuh1.indexer-key.pem
      config/wazuh_indexer_ssl_certs/wazuh1.indexer.pem
      config/wazuh_indexer_ssl_certs/wazuh2.indexer-key.pem
      config/wazuh_indexer_ssl_certs/wazuh2.indexer.pem
      config/wazuh_indexer_ssl_certs/wazuh3.indexer-key.pem
      config/wazuh_indexer_ssl_certs/wazuh3.indexer.pem
      config/wazuh_indexer_ssl_certs/admin.pem
      config/wazuh_indexer_ssl_certs/admin-key.pem
      

      Wazuh manager:

      config/wazuh_indexer_ssl_certs/root-ca-manager.pem
      config/wazuh_indexer_ssl_certs/wazuh.master.pem
      config/wazuh_indexer_ssl_certs/wazuh.master-key.pem
      config/wazuh_indexer_ssl_certs/wazuh.worker.pem
      config/wazuh_indexer_ssl_certs/wazuh.worker-key.pem
      

      Wazuh dashboard:

      config/wazuh_indexer_ssl_certs/wazuh.dashboard.pem
      config/wazuh_indexer_ssl_certs/wazuh.dashboard-key.pem
      config/wazuh_indexer_ssl_certs/root-ca.pem
      
  3. Wazuh çoklu düğüm dağıtımını şunu kullanarak başlatın docker-compose:

    • Ön Plan :

      docker-compose up
    • Arka plan :

      docker-compose up -d

    Wazuh panosu için varsayılan kullanıcı adı ve parola ve'dir adminSecretPasswordEk güvenlik için, Wazuh dizinleyici yönetici kullanıcısı için varsayılan parolayı değiştirebilirsiniz .

Not:  Wazuh dizinleyicisinin ne zaman çalıştığını bilmek için Wazuh gösterge paneli kapsayıcısı curlWazuh dizinleyici API'sine birden fazla sorgu çalıştırmak için kullanılır. Wazuh dizinleyicisi başlatılana kadar birkaç günlük Failed to connect to Wazuh indexer port 9200 mesajı veya "Wazuh gösterge paneli sunucusu henüz hazır değil" mesajı görmeyi bekleyebilirsiniz. Ardından kurulum süreci normal şekilde devam eder. Wazuh dizinleyicisinin başlatılması yaklaşık 1 dakika sürer. Varsayılan Wazuh dizinleyici kimlik bilgilerini docker-compose.yml dosyada bulabilirsiniz .


Docker Görüntülerini Yerel Olarak Oluşturun

Wazuh yöneticisini, dizinleyiciyi ve gösterge paneli görüntülerini yerel olarak değiştirebilir ve oluşturabilirsiniz.

  1. Wazuh deposunu sisteminize kopyalayın:

    git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.2
  2. 4.3.4'e kadar olan sürümler için dizine girin build-docker-imagesve Wazuh yöneticisini, dizinleyiciyi ve gösterge paneli görüntülerini oluşturun:

    docker-compose build

    4.3.5 ve üzeri sürümler için görüntü oluşturma betiğini çalıştırın:

    build-docker-images/build-images.sh

Wazuh Kullanıcılarının Şifresini Değiştirin

Güvenliği artırmak için Wazuh kullanıcılarının varsayılan şifresini değiştirebilirsiniz. İki tür Wazuh kullanıcısı vardır:

  • Wazuh dizinleyici kullanıcıları

  • Wazuh API kullanıcıları

Bu Wazuh kullanıcılarının parolasını değiştirmek için aşağıdaki adımları uygulayın. Wazuh on Docker dağıtımınıza bağlı olarak komutları single-node/veya multi-node/ dizininizden çalıştırmalısınız .

Wazuh Indexer Kullanıcıları

Varsayılan admin ve kibanaserver kullanıcıların şifresini değiştirmek için aşağıdakileri yapın. Bir seferde yalnızca birini değiştirebilirsiniz.

Uyarı:  Özel kullanıcılarınız varsa, bunları internal_users.yml dosyaya ekleyin. Aksi takdirde, bu prosedürü yürütmek onları siler.

Wazuh Panosu Oturumunuzu Kapatma

Şifre değiştirme işlemine başlamadan önce Wazuh kontrol paneli oturumunuzdan çıkış yapmanızı öneririz.

Çıkış yapmadığınız takdirde, kalıcı oturum çerezleri kullanıcı şifrelerini değiştirdikten sonra Wazuh'a erişirken hatalara neden olabilir.

Yeni Bir Karma Ayarlama
  1. Çalışıyorsa dağıtım yığınını durdurun:

    docker-compose down
  2. Yeni parolanızın karmasını oluşturmak için bu komutu çalıştırın. Konteyner başlatıldığında, yeni parolayı girin ve Enter'a basın.

    docker run --rm -ti wazuh/wazuh-indexer:4.9.2 bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/hash.sh
  3. Oluşturulan hash'i kopyalayın.

  4. Dosyayı açın config/wazuh_indexer/internal_users.yml. Şifresini değiştirdiğiniz kullanıcıya ait bloğu bulun.

  5. Karmayı değiştirin.

    • adminkullanıcı

      ...
      admin:
        hash: "$2y$12$K/SpwjtB.wOHJ/Nc6GVRDuc1h0rM1DfvziFRNPtk27P.c4yDr9njO"
        reserved: true
        backend_roles:
        - "admin"
        description: "Demo admin user"
      
      ...
      
    • kibanaserverkullanıcı

      ...
      kibanaserver:
        hash: "$2a$12$4AcgAt3xwOWadA5s5blL6ev39OXDNhmOesEoo33eZtrq2N0YrU3H."
        reserved: true
        description: "Demo kibanaserver user"
      
      ...
      
Yeni Şifreyi Ayarlama

Uyarı:  Yeni şifrenizde $veya & karakterlerini kullanmayın . Bu karakterler dağıtım sırasında hatalara neden olabilir.

  1. Dosyayı açın docker-compose.yml. Eski parolanın tüm oluşumlarını yenisiyle değiştirin. Örneğin, tek düğümlü bir dağıtım için:

    • adminkullanıcı

      ...
      services:
        wazuh.manager:
          ...
          environment:
            - INDEXER_URL=https://wazuh.indexer:9200
            - INDEXER_USERNAME=admin
            - INDEXER_PASSWORD=SecretPassword
            - FILEBEAT_SSL_VERIFICATION_MODE=full
            - SSL_CERTIFICATE_AUTHORITIES=/etc/ssl/root-ca.pem
            - SSL_CERTIFICATE=/etc/ssl/filebeat.pem
            - SSL_KEY=/etc/ssl/filebeat.key
            - API_USERNAME=wazuh-wui
            - API_PASSWORD=MyS3cr37P450r.*-
        ...
        wazuh.indexer:
          ...
          environment:
            - "OPENSEARCH_JAVA_OPTS=-Xms1024m -Xmx1024m"
        ...
        wazuh.dashboard:
          ...
          environment:
            - INDEXER_USERNAME=admin
            - INDEXER_PASSWORD=SecretPassword
            - WAZUH_API_URL=https://wazuh.manager
            - DASHBOARD_USERNAME=kibanaserver
            - DASHBOARD_PASSWORD=kibanaserver
            - API_USERNAME=wazuh-wui
            - API_PASSWORD=MyS3cr37P450r.*-
        ...
      
    • kibanaserverkullanıcı

      ...
      services:
        wazuh.dashboard:
          ...
          environment:
            - INDEXER_USERNAME=admin
            - INDEXER_PASSWORD=SecretPassword
            - WAZUH_API_URL=https://wazuh.manager
            - DASHBOARD_USERNAME=kibanaserver
            - DASHBOARD_PASSWORD=kibanaserver
            - API_USERNAME=wazuh-wui
            - API_PASSWORD=MyS3cr37P450r.*-
        ...
      
Değişiklikleri Uygulama
  1. Dağıtım yığınını başlatın.

    docker-compose up -d
  2. Çalıştırın ve ilk Wazuh dizinleyici kabının adını not edin. Örneğin, , veya .docker pssingle-node-wazuh.indexer-1multi-node-wazuh1.indexer-1

  3. Konteynere girmek için koşun . Örneğin:docker exec -it <WAZUH_INDEXER_CONTAINER_NAME> bash

    docker exec -it single-node-wazuh.indexer-1 bash
  4. Aşağıdaki değişkenleri ayarlayın:

    export INSTALLATION_DIR=/usr/share/wazuh-indexer
    CACERT=$INSTALLATION_DIR/certs/root-ca.pem
    KEY=$INSTALLATION_DIR/certs/admin-key.pem
    CERT=$INSTALLATION_DIR/certs/admin.pem
    export JAVA_HOME=/usr/share/wazuh-indexer/jdk
  5. Wazuh dizinleyicisinin düzgün bir şekilde başlatılmasını bekleyin. Bekleme süresi iki ila beş dakika arasında değişebilir. Kümenin boyutuna, atanan kaynaklara ve ağın hızına bağlıdır. Ardından, securityadmin.shtüm değişiklikleri uygulamak için betiği çalıştırın.

    Tek Düğümlü Küme

    bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh -cd /usr/share/wazuh-indexer/opensearch-security/ -nhnv -cacert  $CACERT -cert $CERT -key $KEY -p 9200 -icl


    Çok Düğümlü Küme

    HOST=$(grep node.name $INSTALLATION_DIR/opensearch.yml | awk '{printf $2}')
    bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh -cd /usr/share/wazuh-indexer/opensearch-security/ -nhnv -cacert  $CACERT -cert $CERT -key $KEY -p 9200 -icl -h $HOST

  6. Wazuh dizinleyici konteynerinden çıkın ve Wazuh panosunda yeni kimlik bilgilerinizle oturum açın.

Wazuh API Kullanıcıları

Kullanıcı wazuh-wui, varsayılan olarak Wazuh API'sine bağlanacak kullanıcıdır. Parolayı değiştirmek için şu adımları izleyin.

Not

 

Wazuh API kullanıcıları için parola 8 ila 64 karakter uzunluğunda olmalıdır. En az bir büyük harf ve bir küçük harf, bir sayı ve bir sembol içermelidir.

  1. Dosyayı açın config/wazuh_dashboard/wazuh.ymlve parametrenin değerini değiştirin password.

    ...
    hosts:
      - 1513629884013:
          url: "https://wazuh.manager"
          port: 55000
          username: wazuh-wui
          password: "MyS3cr37P450r.*-"
          run_as: false
    ...
    
  2. Dosyayı açın docker-compose.yml. Eski şifrenin tüm tekrarlarını yenisiyle değiştirin.

    ...
    services:
      wazuh.manager:
        ...
        environment:
          - INDEXER_URL=https://wazuh.indexer:9200
          - INDEXER_USERNAME=admin
          - INDEXER_PASSWORD=SecretPassword
          - FILEBEAT_SSL_VERIFICATION_MODE=full
          - SSL_CERTIFICATE_AUTHORITIES=/etc/ssl/root-ca.pem
          - SSL_CERTIFICATE=/etc/ssl/filebeat.pem
          - SSL_KEY=/etc/ssl/filebeat.key
          - API_USERNAME=wazuh-wui
          - API_PASSWORD=MyS3cr37P450r.*-
      ...
      wazuh.dashboard:
        ...
        environment:
          - INDEXER_USERNAME=admin
          - INDEXER_PASSWORD=SecretPassword
          - WAZUH_API_URL=https://wazuh.manager
          - DASHBOARD_USERNAME=kibanaserver
          - DASHBOARD_PASSWORD=kibanaserver
          - API_USERNAME=wazuh-wui
          - API_PASSWORD=MyS3cr37P450r.*-
      ...
    
  3. Wazuh konteynerlerini yeniden oluşturun:

    docker-compose down
    docker-compose up -d

Açıkta Kalan Portlar

Varsayılan olarak, yığın aşağıdaki portları açığa çıkarır:

1514

Wazuh TCP

1515

Wazuh TCP

514

Wazuh UDP

55000

Wazuh API

9200

Wazuh dizinleyici HTTPS

443

Wazuh panosu HTTPS

Not:  Docker yapılandırmayı dinamik olarak yeniden yüklemez. Bir bileşenin yapılandırmasını değiştirdikten sonra yığını yeniden başlatmanız gerekir.

Docker'da Dağıtım

Wazuh Docker Yardımcı Programları

Wazuh-Docker konteynerlerini kurduktan sonra, Wazuh kurulumunuzdan en iyi şekilde yararlanmak için yapabileceğiniz birkaç görev vardır.

Hizmetlere ve Konteynerlere Erişim

  1. Docker ana bilgisayar IP adresini kullanarak Wazuh panosuna erişin. Örneğin, https://localhostDocker ana bilgisayarındaysanız.

    Not:  Kendinden imzalı bir sertifika kullanmanız durumunda tarayıcınız sertifikanın gerçekliğini doğrulayamadığına dair bir uyarı verecektir.

     
  2. Standart kayıt sürecini izleyerek ve Docker ana bilgisayar adresini yönetici adresi olarak kullanarak aracıları kaydedin. Daha fazla bilgi için Wazuh aracı kayıt belgelerine bakın.

  3. Wazuh dosyasının bulunduğu dizindeki kapsayıcıları listeleyin docker-compose.yml:

    docker-compose ps
    Output
    NAME                            COMMAND                  SERVICE             STATUS              PORTS
    single-node-wazuh.dashboard-1   "/entrypoint.sh"         wazuh.dashboard     running             443/tcp, 0.0.0.0:443->5601/tcp
    single-node-wazuh.indexer-1     "/entrypoint.sh open…"   wazuh.indexer       running             0.0.0.0:9200->9200/tcp
    single-node-wazuh.manager-1     "/init"                  wazuh.manager       running             0.0.0.0:1514-1515->1514-1515/tcp, 0.0.0.0:514->514/udp, 0.0.0.0:55000->55000/tcp, 1516/tcp
  4. docker-compose.ymlHer bir konteynerin komut satırına erişmek için dosyanın bulunduğu dizinden aşağıdaki komutu çalıştırın:

    docker-compose exec <SERVICE> bash

Wazuh Servis Veri Hacimleri

Wazuh yapılandırma ve günlük dosyalarının kapsayıcılarının dışında var olmasını ayarlayabilirsiniz. Bu, dosyaların kapsayıcıları kaldırdıktan sonra da kalıcı olmasını sağlar ve kapsayıcılarınıza özel yapılandırma dosyaları sağlayabilirsiniz.

Bir Wazuh konteynerinde kalıcılığı garantilemek için birden fazla birime ihtiyacınız var. Aşağıda docker-compose.ymlkalıcı birimlere sahip bir örnek verilmiştir:

services:
  wazuh:
    . . .
    volumes:
      - wazuh_api_configuration:/var/ossec/api/configuration

volumes:
  wazuh_api_configuration:

Kalıcı birimleri şu şekilde listeleyebilirsiniz : docker volume ls

Output
DRIVER              VOLUME NAME
local               single-node_wazuh_api_configuration

Wazuh Indexer ve Dashboard İçin Depolama Hacmi

Wazuh dizinleyici verilerinin depolanması için bir birim eklemek de mümkündür. Varsayılan olarak, tek düğümlü ve çok düğümlü dağıtımlar zaten yapılandırılmış birimlere sahiptir. Tek düğümlü bir wazuh dizinleyici biriminin bir örneği aşağıda gösterilmiştir docker-compose.yml:

wazuh.indexer:
    . . .
     volumes:
       - wazuh-indexer-data:/var/lib/wazuh-indexer

    . . .

volumes:
  wazuh-indexer-data

Özel Komutlar ve Scriptler

Wazuh yönetici kabında komutları çalıştırmak için bir kabuk çalıştırabilirsiniz:

docker exec -it single-node-wazuh.manager-1 bash

Bu kabukta yapılan her değişiklik, veri birimleri doğru şekilde yapılandırıldığı sürece kalıcı olur.

Kubernetes'te Dağıtım

Bu bölümde Wazuh'un Kubernetes'e kurulum, yükseltme ve temizleme süreci gösterilmektedir. Kubernetes açık kaynaklı bir konteyner düzenleme motorudur. Konteynerler, bağımlılıkları ve yapılandırmalarıyla paketlenmiş mikro hizmetlerdir. Kubernetes, konteynerleştirilmiş uygulamaların dağıtımını, ölçeklenmesini ve yönetimini otomatikleştirerek bir kümede çalışmak üzere tasarlanmıştır. Birden fazla sunucuya dağıtılan birden fazla konteyneri kapsayan uygulamaların çalışmasını basitleştirir. Kolay yönetim ve keşif için konteynerler, Kubernetes için temel operasyonel birim olan pod'lara gruplandırılır. Kubernetes pod'ları, yüksek kullanılabilirlik sağlamak için düğümler arasında dağıtılır. Kubernetes, konteynerlerinizi çalıştıran tüm Kubernetes düğümlerinde ağ oluşturma, yük dengeleme, güvenlik ve ölçekleme konusunda yardımcı olur. Belgelerin bu bölümünde, Wazuh Kubernetes deposunu nasıl klonlayacağınızı , sertifikaları nasıl ayarlayacağınızı, manifestoları nasıl uygulayacağınızı ve bulutta ve yerel ortamlarda Kubernetes'e Wazuh'u kurmak için gerekli pod'ları ve hizmetleri nasıl dağıtacağınızı göreceksiniz. Ayrıca, Kubernetes yapılandırma alt bölümünü bulacaksınız ve Kubernetes'e yüklenen Wazuh'u Yükselt alt bölümünde uygulamanızı nasıl yükselteceğinizi öğreneceksiniz . Son olarak, Temizleme alt bölümünde hem kümeleri hem de birimleri nasıl temizleyeceğinizi göreceksiniz .

Kubernetes'te Dağıtım

Kubernetes Yapılandırması

Ön Koşullar

Kaynak Gereksinimi

Wazuh'u Kubernetes'e dağıtmak için kümede en azından aşağıdaki kaynakların bulunması gerekir:

Genel Bakış

StatefulSet ve Dağıtım Denetleyicileri

Bir Dağıtım olarak , bir StatefulSet, aynı kapsayıcı spesifikasyonuna dayanan Pod'ları yönetir, ancak her bir pod'una bağlı bir kimliği korur. Bu pod'lar aynı spesifikasyondan oluşturulur, ancak birbirlerinin yerine kullanılamazlar: her birinin herhangi bir yeniden planlama boyunca korunan kalıcı bir tanımlayıcısı vardır.

Verileri kalıcı depolamaya kaydeden veritabanları gibi durumlu uygulamalar için kullanışlıdır. Her Wazuh yöneticisinin ve her Wazuh dizinleyicisinin durumları korunmalıdır, bu nedenle her başlatmada durumlarını koruduklarından emin olmak için bunları StatefulSet kullanarak bildiririz.

Dağıtımlar durumsuz kullanım için tasarlanmıştır ve oldukça hafiftir ve durumların bakımının gerekli olmadığı Wazuh panosu için uygun görünmektedir.

Kalıcı birimler (PV), sağlanan kümedeki depolama parçalarıdır. Bir düğümün küme kaynağı olması gibi kümedeki bir kaynaktır. Kalıcı birimler, Birimler gibi birim eklentileridir ancak PV'yi kullanan herhangi bir bireysel pod'dan bağımsız bir yaşam döngüsüne sahiptir. Bu API nesnesi, NFS, iSCSI veya bulut sağlayıcıya özgü bir depolama sistemi olsun, depolamanın uygulanmasının ayrıntılarını yakalar.

Burada, hem Wazuh yöneticisinden hem de Wazuh dizinleyicisinden gelen verileri depolamak için kalıcı birimleri kullanıyoruz.

Daha fazla bilgi için kalıcı birimler sayfasına bakın .

Baklalar

Wazuh docker konteynerlerinin nasıl oluşturulduğunu depolardan inceleyebilirsiniz .

Wazuh master

Bu pod, Wazuh kümesinin ana düğümünü içerir. Ana düğüm, çalışan düğümlerini merkezileştirir ve koordine eder, kritik ve gerekli verilerin tüm düğümler arasında tutarlı olmasını sağlar. Yönetim yalnızca bu düğümde gerçekleştirilir, bu nedenle aracı kayıt hizmeti (authd) buraya yerleştirilir.

Resim

Kontroller

wazuh/wazuh-yöneticisi

Durumsal Küme

Wazuh worker 0 / 1

Bu pod'lar Wazuh kümesinin bir işçi düğümünü içerir. Bunlar ajan olaylarını alacaktır.

Resim

Kontroller

wazuh/wazuh-yöneticisi

Durumsal Küme

Wazuh indexer

Wazuh dizinleyici pod'u Filebeat'ten alınan olayları alır.

Resim

Kontroller

wazuh/wazuh-indeksleyici

Durumsal Küme

Wazuh dashboard 

Wazuh kontrol paneli, Wazuh dizinleyici verilerinizi, Wazuh aracı bilgileri ve sunucu yapılandırmasıyla birlikte görselleştirmenize olanak tanır.

Resim

Kontroller 

wazuh/wazuh-panosu

Dağıtım

Hizmetler


Wazuh indeksleyici ve gösterge paneli

İsim

Tanım

wazuh-indeksleyici

Wazuh indeksleyici düğümleri için iletişim.

dizinleyici

Bu, Wazuh panosunun uyarıları okumak/yazmak için kullandığı Wazuh dizinleyici API'sidir.

gösterge paneli

Wazuh kontrol paneli hizmeti. https://wazuh.your-domain.com:443

Wazuh

İsim

Tanım

vazuh

Wazuh API'si: wazuh-master.alan-adiniz.com:55000

Temsilci kayıt hizmeti (authd): wazuh-master.your-domain.com:1515

wazuh-işçiler

Raporlama hizmeti: wazuh-manager.your-domain.com:1514

wazuh-kümesi

Wazuh yönetici düğümleri için iletişim.

Kubernetes'te Dağıtım

Kubernetes'e Yüklenen Wazuh'u Yükseltin

Hangi Dosyaların Birime Aktarılacağının Kontrol Edilmesi


Kubernetes dağıtımımız Docker'dan Wazuh görüntülerimizi kullanır. Docker kullanarak Wazuh yapılandırmasından çıkarılan aşağıdaki koda bakarsak, yükseltmede hangi dizinlerin ve dosyaların kullanıldığını görebiliriz.

/var/ossec/api/configuration
/var/ossec/etc
/var/ossec/logs
/var/ossec/queue
/var/ossec/var/multigroups
/var/ossec/integrations
/var/ossec/active-response/bin
/var/ossec/agentless
/var/ossec/wodles
/etc/filebeat
/var/lib/filebeat
/usr/share/wazuh-dashboard/config/
/usr/share/wazuh-dashboard/certs/
/var/lib/wazuh-indexer
/usr/share/wazuh-indexer/certs/
/usr/share/wazuh-indexer/opensearch.yml
/usr/share/wazuh-indexer/opensearch-security/internal_users.yml

Bu dosyalarla ilgili herhangi bir değişiklik ilişkili birimde de yapılacaktır. Replika pod oluşturulduğunda, önceki değişiklikleri koruyarak bu dosyaları birimden alacaktır.

Sertifikaların Yeniden Oluşturulması

v4.8.0'dan önceki bir sürümden yükseltme yapmak SSL sertifikalarını yeniden oluşturmanızı gerektirir. Bunun için SSL sertifikalarını kurun bölümündeki talimatları izleyin.

Yükseltmeyi Yapılandırma

4.9 sürümüne yükseltmek için iki stratejiden birini izleyebilirsiniz.

Varsayılan Bildirimleri Kullanma

  1. Wazuh-kubernetes'in güncel sürümü için etiketi inceleyin:

    git checkout v4.9.2
  2. Yeni yapılandırmayı uygula

Özel Beyannamelerin Tutulması

Wazuh 4.4'te bazı yollar önceki sürümlerdekilerden farklıdır. Özel bildirimlerinizi tutuyorsanız eski yolları yenileriyle güncellemelisiniz.

old-path->new-path

  • /usr/share/wazuh-dashboard/config/certs/->/usr/share/wazuh-dashboard/certs/

  • /usr/share/wazuh-indexer/config/certs/->/usr/share/wazuh-indexer/certs/

  • /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/->/usr/share/wazuh-indexer/opensearch-security/

Özel bildirimlerinizi koruyarak dağıtımınızı yükseltmek için aşağıdakileri yapın.

  1. 4.3'ten güncelleme yapıyorsanız, aşağıdaki dosyaları düzenleyin ve 4.4'teki yeni yollarla güncelleyin. Aşağıdaki örneklerde her dosyanın yanında yeni yolları görebilirsiniz.

    • wazuh/indexer_stack/wazuh-dashboard/dashboard-deploy.yaml

      image: 'wazuh/wazuh-dashboard:4.9.2'
      mountPath: /usr/share/wazuh-dashboard/certs/cert.pem
      mountPath: /usr/share/wazuh-dashboard/certs/key.pem
      mountPath: /usr/share/wazuh-dashboard/certs/root-ca.pem
      value: /usr/share/wazuh-dashboard/certs/cert.pem
      value: /usr/share/wazuh-dashboard/certs/key.pem
    • wazuh/indexer_stack/wazuh-dashboard/dashboard_conf/opensearch_dashboards.yml

      server.ssl.key: "/usr/share/wazuh-dashboard/certs/key.pem"
      server.ssl.certificate: "/usr/share/wazuh-dashboard/certs/cert.pem"
      opensearch.ssl.certificateAuthorities: ["/usr/share/wazuh-dashboard/certs/root-ca.pem"]
    • wazuh/indexer_stack/wazuh-indexer/cluster/indexer-sts.yaml

      image: 'wazuh/wazuh-indexer:4.9.2'
      mountPath: /usr/share/wazuh-indexer/certs/node-key.pem
      mountPath: /usr/share/wazuh-indexer/certs/node.pem
      mountPath: /usr/share/wazuh-indexer/certs/root-ca.pem
      mountPath: /usr/share/wazuh-indexer/certs/admin.pem
      mountPath: /usr/share/wazuh-indexer/certs/admin-key.pem
      mountPath: /usr/share/wazuh-indexer/opensearch.yml
      mountPath: /usr/share/wazuh-indexer/opensearch-security/internal_users.yml
      
    • wazuh/indexer_stack/wazuh-indexer/indexer_conf/opensearch.yml

      plugins.security.ssl.http.pemcert_filepath: /usr/share/wazuh-indexer/certs/node.pem
      plugins.security.ssl.http.pemkey_filepath: /usr/share/wazuh-indexer/certs/node-key.pem
      plugins.security.ssl.http.pemtrustedcas_filepath: /usr/share/wazuh-indexer/certs/root-ca.pem
      plugins.security.ssl.transport.pemcert_filepath: /usr/share/wazuh-indexer/certs/node.pem
      plugins.security.ssl.transport.pemkey_filepath: /usr/share/wazuh-indexer/certs/node-key.pem
      plugins.security.ssl.transport.pemtrustedcas_filepath: /usr/share/wazuh-indexer/certs/root-ca.pem
      
    • wazuh/wazuh_managers/wazuh-master-sts.yaml

      image: 'wazuh/wazuh-manager:4.9.2'
      
    • wazuh/wazuh_managers/wazuh-worker-sts.yaml

      image: 'wazuh/wazuh-manager:4.9.2'
      
  2. Yeni yapılandırmayı uygula

Yeni Yapılandırmayı Uygula

Son adım yeni yapılandırmayı uygulamaktır:

Output
 statefulset.apps "wazuh-manager-master" configured

Bu işlem eski pod'u sonlandırırken aynı birime bağlı yeni bir sürümle yeni bir pod yaratacaktır. Pod'lar başlatıldığında güncelleme hazır olacak ve yüklenen yeni Wazuh sürümünü, kümeyi ve birimlerin kullanımıyla korunan değişiklikleri kontrol edebiliriz.

Kubernetes'te Dağıtım

Dağıtım

Gerekli servisleri ve pod'ları dağıtmak için bu deponun klonunu oluşturun.

git clone https://github.com/wazuh/wazuh-kubernetes.git -b v4.9.2 --depth=1
cd wazuh-kubernetes

SSL Sertifikalarını Kurun

Wazuh dizinleyici kümesi için kendi kendine imzalı sertifikaları adresindeki betiği kullanarak üretebilir wazuh/certs/indexer_cluster/generate_certs.shveya kendi betiğinizi sağlayabilirsiniz.

Wazuh panosu kümesi için kendi imzalı sertifikaları adresindeki betiği kullanarak üretebilir wazuh/certs/dashboard_http/generate_certs.shveya kendi betiğinizi sağlayabilirsiniz.

Gerekli sertifikalar secretGenerator aracılığıyla şu dosyaya aktarılır kustomization.yml:


secretGenerator:
    - name: indexer-certs
      files:
        - certs/indexer_cluster/root-ca.pem
        - certs/indexer_cluster/node.pem
        - certs/indexer_cluster/node-key.pem
        - certs/indexer_cluster/dashboard.pem
        - certs/indexer_cluster/dashboard-key.pem
        - certs/indexer_cluster/admin.pem
        - certs/indexer_cluster/admin-key.pem
        - certs/indexer_cluster/filebeat.pem
        - certs/indexer_cluster/filebeat-key.pem
    - name: dashboard-certs
      files:
        - certs/dashboard_http/cert.pem
        - certs/dashboard_http/key.pem
        - certs/indexer_cluster/root-ca.pem

Depolama Sınıfını Ayarlayın (EKS Olmayan Küme İçin İsteğe Bağlı)


Çalıştırdığınız kümenin türüne bağlı olarak, Depolama Sınıfı farklı bir sağlayıcıya sahip olabilir.

Sizinkini çalıştırarak kontrol edebilirsiniz . Şuna benzer bir şey göreceksiniz:kubectl get sc

kubectl get sc
NAME                          PROVISIONER            RECLAIMPOLICY   VOLUMEBINDINGMODE   ALLOWVOLUMEEXPANSION   AGE
elk-gp2                       microk8s.io/hostpath   Delete          Immediate           false                  67d
microk8s-hostpath (default)   microk8s.io/hostpath   Delete          Immediate           false                  54d

Provizyonlayıcı sütunu microk8s.io/hostpath'i gösteriyor, dosyayı düzenlemeli envs/local-env/storage-class.yaml ve bu provizyonlayıcıyı ayarlamalısınız.

Tüm Bildirimleri Kustomize Kullanarak Uygulayın

Manifest'in iki çeşidi vardır: eksve local-env. EKS kümesini kullanıyorsanız eks manifest'i kullanılmalıdır, diğer küme türleri için ise local-env manifest'i kullanılmalıdır.

Hangi bildirimi dağıtmak istediğinize bağlı olarak, yamaları düzenleyerek küme için kaynakları ayarlamak mümkündür. Her küme nesnesinin kalıcı birimleri için CPU, bellek ve depolamayı ayarlayabilirsiniz. Bu, bu yamaları kaldırarak envs/eks/veya yamaların kendilerini farklı değerlerle değiştirerek geri alınabilir.envs/local-env/kustomization.yaml

Özelleştirme dosyasını kullanarak kümeyi tek bir komutla dağıtabiliriz:

Dağıtımın Doğrulanması

Ad alanı

kubectl get namespaces | grep wazuh
Output
wazuh         Active    12m

Hizmetler

kubectl get services -n wazuh
Output
NAME                  TYPE           CLUSTER-IP       EXTERNAL-IP        PORT(S)                          AGE
indexer               ClusterIP      xxx.yy.zzz.24    <none>             9200/TCP                         12m
dashboard             ClusterIP      xxx.yy.zzz.76    <none>             5601/TCP                         11m
wazuh                 LoadBalancer   xxx.yy.zzz.209   internal-a7a8...   1515:32623/TCP,55000:30283/TCP   9m
wazuh-cluster         ClusterIP      None             <none>             1516/TCP                         9m
Wazuh-indexer         ClusterIP      None             <none>             9300/TCP                         12m
wazuh-workers         LoadBalancer   xxx.yy.zzz.26    internal-a7f9...   1514:31593/TCP                   9m

Dağıtımlar

kubectl get deployments -n wazuh
Output
NAME             DESIRED   CURRENT   UP-TO-DATE   AVAILABLE   AGE
wazuh-dashboard  1         1         1            1           11m

Durum Kümesi

kubectl get statefulsets -n wazuh

Output
NAME                   READY   AGE
wazuh-indexer          3/3     15m
wazuh-manager-master   1/1     15m
wazuh-manager-worker   2/2     15m

Baklalar

kubectl get pods -n wazuh

Output
NAME                              READY     STATUS    RESTARTS   AGE
wazuh-indexer-0                   1/1       Running   0          15m
wazuh-dashboard-f4d9c7944-httsd   1/1       Running   0          14m
wazuh-manager-master-0            1/1       Running   0          12m
wazuh-manager-worker-0-0          1/1       Running   0          11m
wazuh-manager-worker-1-0          1/1       Running   0          11m
Wazuh panosuna erişim

Hizmetler için alan adları oluşturduysanız, önerilen alan adını kullanarak panoya erişebilmelisiniz: https://wazuh.your-domain.com. Bulut sağlayıcıları genellikle panoya doğrudan erişim için harici bir IP adresi veya ana bilgisayar adı sağlar. Bu, hizmetleri kontrol ederek görüntülenebilir:

kubectl get services -o wide -n wazuh

Output
 NAME                  TYPE           CLUSTER-IP       EXTERNAL-IP                      PORT(S)                          AGE       SELECTOR
 dashboard             LoadBalancer   xxx.xx.xxx.xxx   xxx.xx.xxx.xxx                   80:31831/TCP,443:30974/TCP       15m       app=wazuh-dashboard

İsteğe bağlı : Harici IP adresine erişilemeyen yerel bir küme dağıtımında şunları kullanabilirsiniz port-forward:

kubectl -n wazuh port-forward --address <INTERFACE_IP_ADDRESS> service/dashboard 8443:443

<INTERFACE_IP_ADDRESS>Kubernetes ana bilgisayarının IP adresi nerede ?

Wazuh kontrol paneline şu adresten ulaşabilirsiniz https://<INTERFACE_IP_ADDRESS>:8443: .

Varsayılan kimlik bilgileri şunlardır admin:SecretPassword: .

Wazuh Kullanıcılarının Şifresini Değiştirin

Güvenliği artırmak için Wazuh kullanıcılarının varsayılan şifresini değiştirebilirsiniz. İki tür Wazuh kullanıcısı vardır:

Wazuh Dizinleyici Kullanıcıları

Varsayılan admin ve kibanaserver kullanıcıların şifrelerini değiştirmek için aşağıdakileri yapın.

Uyarı:  Özel kullanıcılarınız varsa, bunları internal_users.yml dosyaya ekleyin. Aksi takdirde, bu prosedürü yürütmek onları siler.

Wazuh Dashboard Oturumunuzu Kapatma

Şifre değiştirme işlemine başlamadan önce Wazuh kontrol paneli oturumunuzdan çıkış yapmanızı öneririz.

Çıkış yapmadığınız takdirde, kalıcı oturum çerezleri kullanıcı şifrelerini değiştirdikten sonra Wazuh'a erişirken hatalara neden olabilir.

Yeni Bir Hash Ayarlama

  1. wazuh-indexer-0'de bir Bash kabuğu başlatın.

    kubectl exec -it wazuh-indexer-0 -n wazuh -- /bin/bash
  2. Yeni parolanızın karmasını oluşturmak için bu komutları çalıştırın. İstendiğinde, yeni parolayı girin ve Enter'a basın.

    wazuh-indexer@wazuh-indexer-0:~$ export JAVA_HOME=/usr/share/wazuh-indexer/jdk
    wazuh-indexer@wazuh-indexer-0:~$ bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/hash.sh
  3. Oluşturulan hash'i kopyalayın ve Bash kabuğundan çıkın.

  4. Dosyayı açın wazuh/indexer_stack/wazuh-indexer/indexer_conf/internal_users.yml. Şifresini değiştirdiğiniz kullanıcıya ait bloğu bulun.

  5. Karmayı değiştirin.

    • adminkullanıcı

      ...
      admin:
          hash: "$2y$12$K/SpwjtB.wOHJ/Nc6GVRDuc1h0rM1DfvziFRNPtk27P.c4yDr9njO"
          reserved: true
          backend_roles:
          - "admin"
          description: "Demo admin user"
      
      ...
      
    • kibanaserverkullanıcı

      ...
      kibanaserver:
          hash: "$2a$12$4AcgAt3xwOWadA5s5blL6ev39OXDNhmOesEoo33eZtrq2N0YrU3H."
          reserved: true
          description: "Demo kibanaserver user"
      
      ...
      

Yeni Şifreyi Ayarlama

Uyarı:  Yeni şifrenizde $veya & karakterlerini kullanmayın . Bu karakterler dağıtım sırasında hatalara neden olabilir.

  1. Yeni parolanızı base64 biçiminde kodlayın. Karma değerini korumak için son satır karakteri eklemekten kaçının. Örneğin, seçeneği -nkomutla echoaşağıdaki gibi kullanın.

    echo -n "NewPassword" | base64
  2. Dizinleyici veya pano sırları yapılandırma dosyasını aşağıdaki gibi düzenleyin. Alanın değerini passwordyeni kodlanmış parolanızla değiştirin.

    • Kullanıcı şifresini değiştirmek için dosyayı admindüzenleyin wazuh/secrets/indexer-cred-secret.yaml.

      ...
      apiVersion: v1
      kind: Secret
      metadata:
          name: indexer-cred
      data:
          username: YWRtaW4=              # string "admin" base64 encoded
          password: U2VjcmV0UGFzc3dvcmQ=  # string "SecretPassword" base64 encoded
      ...
      
    • Kullanıcı şifresini değiştirmek için dosyayı kibanaserverdüzenleyin wazuh/secrets/dashboard-cred-secret.yaml.

      ...
      apiVersion: v1
      kind: Secret
      metadata:
          name: dashboard-cred
      data:
          username: a2liYW5hc2VydmVy  # string "kibanaserver" base64 encoded
          password: a2liYW5hc2VydmVy  # string "kibanaserver" base64 encoded
      ...
      

Değişiklikleri Uygulama

  1. Bildirim değişikliklerini uygulayın

    • EKS kümesi

      kubectl apply -k envs/eks/
    • Diğer küme türleri

      kubectl apply -k envs/local-env/
  2. Bir kez daha bash kabuğunu başlatın wazuh-indexer-0.

    kubectl exec -it wazuh-indexer-0 -n wazuh -- /bin/bash
  3. Aşağıdaki değişkenleri ayarlayın:

    export INSTALLATION_DIR=/usr/share/wazuh-indexer
    CACERT=$INSTALLATION_DIR/certs/root-ca.pem
    KEY=$INSTALLATION_DIR/certs/admin-key.pem
    CERT=$INSTALLATION_DIR/certs/admin.pem
    export JAVA_HOME=/usr/share/wazuh-indexer/jdk
    
  4. Wazuh dizinleyicisinin düzgün bir şekilde başlatılmasını bekleyin. Bekleme süresi iki ila beş dakika arasında değişebilir. Kümenin boyutuna, atanan kaynaklara ve ağın hızına bağlıdır. Ardından, securityadmin.shtüm değişiklikleri uygulamak için scripti çalıştırın.

    bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh -cd /usr/share/wazuh-indexer/opensearch-security/ -nhnv -cacert  $CACERT -cert $CERT -key $KEY -p 9200 -icl -h $NODE_NAME
  5. Bileşen kimlik bilgilerini güncellemek için tüm Wazuh yönetici bölmelerini silin.

    kubectl delete -n wazuh pod/wazuh-manager-master-0 pod/wazuh-manager-worker-0 pod/wazuh-manager-worker-1
  6. Wazuh kontrol panelinde yeni kimlik bilgilerinizle giriş yapın.

Wazuh API Kullanıcıları

Kullanıcı wazuh-wui, varsayılan olarak Wazuh API'sine bağlanacak kullanıcıdır. Parolayı değiştirmek için şu adımları izleyin.

Not:  Wazuh API kullanıcıları için parola 8 ila 64 karakter uzunluğunda olmalıdır. En az bir büyük harf ve bir küçük harf, bir sayı ve bir sembol içermelidir.

  1. Yeni parolanızı base64 biçiminde kodlayın. Karma değerini korumak için son satır karakteri eklemekten kaçının. Örneğin, seçeneği -nkomutla echoaşağıdaki gibi kullanın.

    echo -n "NewPassword" | base64
  2. wazuh/secrets/wazuh-api-cred-secret.yaml dosyayı düzenleyin ve password alanın değerini değiştirin .

    apiVersion: v1
    kind: Secret
    metadata:
        name: wazuh-api-cred
        namespace: wazuh
    data:
        username: d2F6dWgtd3Vp          # string "wazuh-wui" base64 encoded
        password: UGFzc3dvcmQxMjM0LmE=  # string "MyS3cr37P450r.*-" base64 encoded
    
  3. Manifest değişikliklerini uygulayın.

    kubectl apply -k envs/eks/
  4. Wazuh panosu ve Wazuh yöneticisi ana bilgisayarı için pod'ları yeniden başlatın.

Agentlar

Wazuh ajanları ana bilgisayarları izlemek için tasarlanmıştır. Bunları kullanmaya başlamak için:

  1. Ajanı yükleyin .

  2. Dosyayı değiştirerek aracı kaydedin /var/ossec/etc/ossec.conf. "Taşıma protokolünü" TCP olarak değiştirin ve 'yi MANAGER_IP1514 numaralı bağlantı noktasına işaret eden hizmetin harici IP adresiyle veya bulut sağlayıcısı tarafından sağlanan ana bilgisayar adıyla değiştirin

Acentelerin kaydedilmesi hakkında daha fazla bilgi edinmek için dokümantasyonun Wazuh acente kaydı bölümüne bakın.

Kubernetes'te Dağıtım

Temizlemek

Tüm dağıtımların, hizmetlerin ve birimlerin temizlenmesine yönelik adımlar.

  1. Tüm kümeyi kaldır

Wazuh yönetici kümesinin dağıtımı, farklı StatefulSet öğelerinin yanı sıra yapılandırma haritaları ve hizmetlerinin kullanımını içerir.

Wazuh kümenizi silmek için bu depo dizininden aşağıdaki komutu çalıştırmanız yeterlidir.

Bu, dosyada tanımlanan tüm kaynakları kaldıracaktır kustomization.yml.

  1. Kalıcı birimleri kaldırın.

    kubectl get persistentvolume

    Output
    NAME                                       CAPACITY   ACCESS MODES   RECLAIM POLICY   STATUS        CLAIM                                                         STORAGECLASS             REASON    AGE
    pvc-024466da-f7c5-11e8-b9b8-022ada63b4ac   10Gi       RWO            Retain           Released      wazuh/wazuh-manager-worker-wazuh-manager-worker-1-0           gp2-encrypted-retained             6d
    pvc-b3226ad3-f7c4-11e8-b9b8-022ada63b4ac   30Gi       RWO            Retain           Bound         wazuh/wazuh-indexer-wazuh-indexer-0                           gp2-encrypted-retained             6d
    pvc-fb821971-f7c4-11e8-b9b8-022ada63b4ac   10Gi       RWO            Retain           Released      wazuh/wazuh-manager-master-wazuh-manager-master-0             gp2-encrypted-retained             6d
    pvc-ffe7bf66-f7c4-11e8-b9b8-022ada63b4ac   10Gi       RWO            Retain           Released      wazuh/wazuh-manager-worker-wazuh-manager-worker-0-0           gp2-encrypted-retained             6d
    kubectl delete persistentvolume pvc-b3226ad3-f7c4-11e8-b9b8-022ada63b4ac

    Tüm Wazuh ile ilgili kalıcı birimleri silmek için kubectl delete komutunu tekrarlayın.

Uyarı:  Gerektiğinde birimleri manuel olarak silmeyi unutmayın.

Çevrimdışı Kurulum

İnternet bağlantısı olmasa bile Wazuh'u yükleyebilirsiniz. Çözümü çevrimdışı olarak yüklemek, Wazuh merkezi bileşenlerini indirip daha sonra İnternet bağlantısı olmayan bir sisteme yüklemeyi içerir. Wazuh sunucusu, Wazuh dizinleyicisi ve Wazuh panosu, hepsi bir arada bir dağıtımda aynı ana bilgisayara yüklenebilir ve yapılandırılabilir veya her bileşen, ortam ihtiyaçlarınıza bağlı olarak dağıtılmış bir dağıtım olarak ayrı bir ana bilgisayara yüklenebilir.

Çevrimdışı Kurulum

Yardımcıyı Kullanarak Wazuh Bileşenlerini Yükleyin

Wazuh kurulum asistanının yardımıyla farklı Wazuh bileşenlerini kurun ve yapılandırın.

Not:  Aşağıda açıklanan tüm komutları çalıştırabilmek için root kullanıcı ayrıcalıklarına sahip olmanız gerekir.

Lütfen ilk yapılandırma adımında oluşturulan wazuh-install-files.tarve wazuh-offline.tar.gzdosyalarının bir kopyasının çalışma dizininize yerleştirildiğinden emin olun.

Wazuh Indexer Yükleme

Wazuh dizinleyici düğümlerini kurun ve yapılandırın.


RPM

Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir.

    • coreutils


DEB

Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir.

    • debconf

    • adduser

    • procps

  1. Çevrimdışı bir kurulum gerçekleştirmek için asistanı ile çalıştırın --offline-installation. Wazuh dizinleyicisini kurmak ve yapılandırmak için seçeneği --wazuh-indexerve düğüm adını kullanın. Düğüm adı, ilk yapılandırma için kullanılanla aynı olmalıdır config.yml, örneğin, node-1.

    bash wazuh-install.sh --offline-installation --wazuh-indexer node-1

    Bu adımı kümenizdeki her Wazuh dizinleyici düğümü için tekrarlayın. Ardından bir sonraki adımda tek düğümlü veya çok düğümlü kümenizi başlatmaya devam edin.

  2. --start-clusterYeni sertifika bilgilerini yüklemek ve kümeyi başlatmak için herhangi bir Wazuh dizinleyici düğümünde Wazuh kurulum yardımcısını seçeneğiyle çalıştırın.

    bash wazuh-install.sh --offline-installation --start-cluster

    Not:  Kümeyi yalnızca bir kez başlatmanız yeterlidir , bu komutu her düğümde çalıştırmanıza gerek yoktur.

Küme Kurulumunu Test Etme

  1. Yönetici parolasını almak için aşağıdaki komutu çalıştırın :

    tar -axf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt -O | grep -P "\'admin\'" -A 1
  2. Kurulumun başarılı olduğunu doğrulamak için aşağıdaki komutu çalıştırın. <ADMIN_PASSWORD>Önceki komutun çıktısından alınan parola ile değiştirin. <WAZUH_INDEXER_IP>Yapılandırılmış Wazuh dizinleyici IP adresi ile değiştirin:

    curl -k -u admin:<ADMIN_PASSWORD> https://<WAZUH_INDEXER_IP>:9200
    Output
    {
      "name" : "node-1",
      "cluster_name" : "wazuh-cluster",
      "cluster_uuid" : "095jEW-oRJSFKLz5wmo5PA",
      "version" : {
        "number" : "7.10.2",
        "build_type" : "rpm",
        "build_hash" : "db90a415ff2fd428b4f7b3f800a51dc229287cb4",
        "build_date" : "2023-06-03T06:24:25.112415503Z",
        "build_snapshot" : false,
        "lucene_version" : "9.6.0",
        "minimum_wire_compatibility_version" : "7.10.0",
        "minimum_index_compatibility_version" : "7.0.0"
      },
      "tagline" : "The OpenSearch Project: https://opensearch.org/"
    }
    
  3. <WAZUH_INDEXER_IP>ve ile değiştirin <ADMIN_PASSWORD>ve kümenin düzgün çalışıp çalışmadığını kontrol etmek için aşağıdaki komutu çalıştırın:


    curl -k -u admin:<ADMIN_PASSWORD> https://<WAZUH_INDEXER_IP>:9200/_cat/nodes?v

Wazuh Sunucusunun Kurulumu

DEB

Paket yöneticisi olarak apt kullanılan sistemlerde Wazuh sunucu düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekmektedir.

    • gnupg

    • apt-transport-https

  1. Çevrimdışı bir kurulum gerçekleştirmek için asistanı ile çalıştırın --offline-installation. Wazuh sunucusunu kurmak için düğüm adının ardından gelen seçeneği kullanın --wazuh-server. Düğüm adı, ilk yapılandırma için kullanılanla aynı olmalıdır config.yml, örneğin, wazuh-1.

    bash wazuh-install.sh --offline-installation --wazuh-server wazuh-1

Wazuh sunucunuz artık başarıyla kuruldu.

Wazuh Dashboard Kurulumu

RPM
Wazuh panosu düğümüne aşağıdaki bağımlılıkların yüklenmesi gerekir.


DEB
Wazuh panosu düğümüne aşağıdaki bağımlılıkların yüklenmesi gerekir.

  1. Çevrimdışı bir kurulum gerçekleştirmek için asistanı ile çalıştırın --offline-installation. Wazuh panosunu kurmak ve yapılandırmak için seçeneği --wazuh-dashboardve düğüm adını kullanın. Düğüm adı, ilk yapılandırma için kullanılanla aynı olmalıdır config.yml, örneğin, dashboard.

    bash wazuh-install.sh --offline-installation --wazuh-dashboard dashboard

    Varsayılan Wazuh web kullanıcı arayüzü portu, Wazuh panosu tarafından kullanılan 443'tür. Bu portu isteğe bağlı parametreyi kullanarak değiştirebilirsiniz . Önerilen bazı portlar 8443, 8444, 8080, 8888 ve 9000'dir.-p|--port <port_number>

    Yardımcı kurulumu tamamladığında, çıktı erişim kimlik bilgilerini ve kurulumun başarılı olduğunu doğrulayan bir mesajı gösterir.

    INFO: --- Summary ---
    INFO: You can access the web interface https://<wazuh-dashboard-ip>
       User: admin
       Password: <ADMIN_PASSWORD>
    
    INFO: Installation finished.

    wazuh-passwords.txtArtık Wazuh'u kurdunuz ve yapılandırdınız. Wazuh kurulum asistanı tarafından oluşturulan tüm parolalar arşivin içindeki dosyada bulunabilir wazuh-install-files.tar. Bunları yazdırmak için aşağıdaki komutu çalıştırın:

    tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
  2. Kimlik bilgilerinizle Wazuh web arayüzüne erişin.

    • URL: https://<wazuh-dashboard-ip>

    • Kullanıcı adı : admin

    • Şifre : <ADMIN_PASSWORD>

    Wazuh panosuna ilk kez eriştiğinizde, tarayıcı sertifikanın güvenilir bir otorite tarafından verilmediğini belirten bir uyarı mesajı gösterir. Web tarayıcısının gelişmiş seçeneklerine bir istisna eklenebilir. Daha fazla güvenlik için, root-ca.pemdaha önce oluşturulan dosya bunun yerine tarayıcının sertifika yöneticisine aktarılabilir. Alternatif olarak, güvenilir bir otoritenin sertifikası yapılandırılabilir.

Çevrimdışı Kurulum

Wazuh Bileşenlerini Adım Adım Yükleyin

  1. wazuh-offline.tar.gzve dosyalarını yerleştirdiğiniz çalışma dizininde wazuh-install-files.tar, kurulum dosyalarını açmak için aşağıdaki komutu çalıştırın.


    tar xf wazuh-offline.tar.gz
    tar xf wazuh-install-files.tar

    Sıkıştırılmış paket dosyalarının SHA512'sini . adresinden kontrol edebilirsiniz wazuh-offline/wazuh-packages/. SHA512 toplam kontrol değerlerini Paketler listesinde bulabilirsiniz.

Wazuh Indexer Yükleme


RPM
Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir.

DEB
Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir.

  1. Wazuh indeksleyicisini yüklemek için aşağıdaki komutları çalıştırın.

    RPM

    rpm --import ./wazuh-offline/wazuh-files/GPG-KEY-WAZUH
    rpm -ivh ./wazuh-offline/wazuh-packages/wazuh-indexer*.rpm


    DEB

    dpkg -i ./wazuh-offline/wazuh-packages/wazuh-indexer*.deb

  2. Aşağıdaki komutları, <indexer-node-name>yapılandırdığınız Wazuh dizinleyici düğümünün adını 'de tanımlandığı gibi değiştirerek çalıştırın config.yml. Örneğin, node-1. Bu, Wazuh merkezi bileşenleri arasındaki iletişimleri şifrelemek için SSL sertifikalarını dağıtır.

    NODE_NAME=<indexer-node-name>
    mkdir /etc/wazuh-indexer/certs
    mv -n wazuh-install-files/$NODE_NAME.pem /etc/wazuh-indexer/certs/indexer.pem
    mv -n wazuh-install-files/$NODE_NAME-key.pem /etc/wazuh-indexer/certs/indexer-key.pem
    mv wazuh-install-files/admin-key.pem /etc/wazuh-indexer/certs/
    mv wazuh-install-files/admin.pem /etc/wazuh-indexer/certs/
    cp wazuh-install-files/root-ca.pem /etc/wazuh-indexer/certs/
    chmod 500 /etc/wazuh-indexer/certs
    chmod 400 /etc/wazuh-indexer/certs/*
    chown -R wazuh-indexer:wazuh-indexer /etc/wazuh-indexer/certs

    Burada node-1.pem ve node-1-key.pem gibi düğüm sertifikasını ve anahtar dosyalarını ilgili certs klasörüne taşırsınız. Bunlar düğüme özgüdür ve diğer düğümlerde gerekli değildir. Ancak, root-ca.pem sertifikasının taşınmadığını, certs klasörüne kopyalandığını unutmayın. Bu şekilde, sonraki adımlarda diğer bileşen klasörlerine dağıtmaya devam edebilirsiniz.

  3. /etc/wazuh-indexer/opensearch.ymlAşağıdaki değerleri düzenleyin ve değiştirin:

    1. network.host: Bu düğümün adresini hem HTTP hem de taşıma trafiği için ayarlar. Düğüm bu adrese bağlanacak ve ayrıca bunu yayın adresi olarak kullanacaktır. Bir IP adresi veya ana bilgisayar adını kabul eder.

      config.ymlSSL sertifikalarını oluşturmak için ayarlanan aynı düğüm adresini kullanın .

    2. node.name: Dosyada tanımlandığı gibi Wazuh dizinleyici düğümünün adı config.yml. Örneğin, node-1.

    3. cluster.initial_master_nodes: Ana-uygun düğümlerin adlarının listesi. Bu adlar dosyada tanımlanmıştır config.ymlnode-2ve node-3satırlarının yorumunu kaldırın, adları değiştirin veya tanımlarınıza göre daha fazla satır ekleyin config.yml.

      cluster.initial_master_nodes:
      - "node-1"
      - "node-2"
      - "node-3"
      
    4. discovery.seed_hosts:Ana uygun düğümlerin adreslerinin listesi. Her bir öğe bir IP adresi veya bir ana bilgisayar adı olabilir. Wazuh dizinleyicisini tek düğüm olarak yapılandırıyorsanız bu ayarı yorumlanmış olarak bırakabilirsiniz. Çok düğümlü yapılandırmalar için bu ayarın yorumunu kaldırın ve ana uygun düğümlerinizin adreslerini ayarlayın.

      discovery.seed_hosts:
        - "10.0.0.1"
        - "10.0.0.2"
        - "10.0.0.3"
      
    5. plugins.security.nodes_dn: Tüm Wazuh dizinleyici küme düğümlerinin sertifikalarının Ayrıcalıklı Adlarının listesi. ve satırlarının yorumunu kaldırın node-2ve node-3ortak adları (CN) ve değerleri ayarlarınıza ve config.ymltanımlarınıza göre değiştirin.

      plugins.security.nodes_dn:
      - "CN=node-1,OU=Wazuh,O=Wazuh,L=California,C=US"
      - "CN=node-2,OU=Wazuh,O=Wazuh,L=California,C=US"
      - "CN=node-3,OU=Wazuh,O=Wazuh,L=California,C=US"
      

4. Wazuh dizinleyici hizmetini etkinleştirin ve başlatın.

5. Çok düğümlü kümeler için, önceki adımları her Wazuh dizinleyici düğümünde tekrarlayın.

6. Tüm Wazuh dizinleyici düğümleri çalıştığında, yeni sertifika bilgilerini yüklemek ve kümeyi başlatmak için herhangi bir Wazuh dizinleyiciindexer-security-init.sh düğümünde Wazuh dizinleyici betiğini çalıştırın.

/usr/share/wazuh-indexer/bin/indexer-security-init.sh

7. Kurulumun başarılı olup olmadığını kontrol etmek için aşağıdaki komutu çalıştırın. Bu komutun kullandığını unutmayın 127.0.0.1, gerekirse Wazuh dizinleyici adresinizi ayarlayın.

curl -XGET https://127.0.0.1:9200 -u admin:admin -k

Örnek yanıtı görmek için çıktıya göz atın.

{
  "name" : "node-1",
  "cluster_name" : "wazuh-cluster",
  "cluster_uuid" : "095jEW-oRJSFKLz5wmo5PA",
  "version" : {
    "number" : "7.10.2",
    "build_type" : "rpm",
    "build_hash" : "db90a415ff2fd428b4f7b3f800a51dc229287cb4",
    "build_date" : "2023-06-03T06:24:25.112415503Z",
    "build_snapshot" : false,
    "lucene_version" : "9.6.0",
    "minimum_wire_compatibility_version" : "7.10.0",
    "minimum_index_compatibility_version" : "7.0.0"
  },
  "tagline" : "The OpenSearch Project: https://opensearch.org/"
}

Wazuh Sunucusunun Kurulumu

DEB
Paket yöneticisi olarak apt kullanılan sistemlerde Wazuh sunucu düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekmektedir.

    • gnupg

    • apt-transport-https


  1. Wazuh anahtarını içe aktarmak ve Wazuh yöneticisini yüklemek için aşağıdaki komutları çalıştırın.

    RPM

    rpm --import ./wazuh-offline/wazuh-files/GPG-KEY-WAZUH
    rpm -ivh ./wazuh-offline/wazuh-packages/wazuh-manager*.rpm


    DEB

    dpkg -i ./wazuh-offline/wazuh-packages/wazuh-manager*.deb
  2. Wazuh dizinleyici kullanıcı adını ve parolasını wazuh-keystore aracını kullanarak Wazuh yöneticisi anahtar deposuna kaydedin:

    echo '<INDEXER_USERNAME>' | /var/ossec/bin/wazuh-keystore -f indexer -k username
    echo '<INDEXER_PASSWORD>' | /var/ossec/bin/wazuh-keystore -f indexer -k password

    Not:  Varsayılan çevrimdışı kurulum kimlik bilgileri şunlardır admin:admin

     


  3. Wazuh yönetici servisini etkinleştirin ve başlatın.

    Systemd

    systemctl daemon-reload
    systemctl enable wazuh-manager
    systemctl start wazuh-manager


    SysV Başlatma

    Kullanılan işletim sistemine göre bir seçenek seçin.

    •  RPM tabanlı işletim sistemi:
    chkconfig --add wazuh-indexer
    service wazuh-indexer start
    • Debian tabanlı işletim sistemi: 
    update-rc.d wazuh-indexer defaults 95 10
    service wazuh-indexer start

  4. Wazuh yöneticisi durumunun etkin olduğunu doğrulamak için aşağıdaki komutu çalıştırın.

    Systemd

    # systemctl status wazuh-manager
    SysV Başlatma
    service wazuh-manager status

Filebeat'i Yükleme

Filebeat, Wazuh yöneticisinin kurulu olduğu sunucuda kurulu ve yapılandırılmış olmalıdır.

  1. Filebeat'i yüklemek için aşağıdaki komutu çalıştırın.

    RPM

    rpm -ivh ./wazuh-offline/wazuh-packages/filebeat*.rpm

    DEB

    dpkg -i ./wazuh-offline/wazuh-packages/filebeat*.deb
  2. Yapılandırma dosyalarının bir kopyasını uygun konuma taşıyın. Üzerine yazmak için istemde "evet" yazdığınızdan emin olun /etc/filebeat/filebeat.yml.

    cp ./wazuh-offline/wazuh-files/filebeat.yml /etc/filebeat/ &&\
    cp ./wazuh-offline/wazuh-files/wazuh-template.json /etc/filebeat/ &&\
    chmod go+r /etc/filebeat/wazuh-template.json
  3. Yapılandırma dosyasını düzenleyin /etc/filebeat/filebeat.ymlve aşağıdaki değeri değiştirin:

    1. hosts: Bağlanılacak Wazuh dizinleyici düğümlerinin listesi. IP adreslerini veya ana bilgisayar adlarını kullanabilirsiniz. Varsayılan olarak, ana bilgisayar localhost olarak ayarlanmıştır . Bunu uygun şekilde Wazuh dizinleyici adresinizle değiştirin.hosts: ["127.0.0.1:9200"]

      Birden fazla Wazuh dizinleyici düğümünüz varsa, adresleri virgül kullanarak ayırabilirsiniz. Örneğin,hosts: ["10.0.0.1:9200", "10.0.0.2:9200", "10.0.0.3:9200"]

       # Wazuh - Filebeat configuration file
       output.elasticsearch:
       hosts: ["10.0.0.1:9200"]
       protocol: https
       username: ${username}
       password: ${password}
      
  4. Kimlik doğrulama bilgilerini güvenli bir şekilde depolamak için bir Filebeat anahtar deposu oluşturun.

    filebeat keystore create
  5. Kullanıcı adı ve şifreyi adminadmingizli anahtar deposuna ekleyin.

    echo admin | filebeat keystore add username --stdin --force
    echo admin | filebeat keystore add password --stdin --force
  6. Filebeat için Wazuh modülünü yükleyin.

    tar -xzf ./wazuh-offline/wazuh-files/wazuh-filebeat-0.4.tar.gz -C /usr/share/filebeat/module
  7. <SERVER_NODE_NAME>Wazuh sunucu düğüm sertifika adınızla değiştirin , config.ymlsertifikaları oluştururken kullanılanla aynı. Örneğin, wazuh-1. Ardından, sertifikaları karşılık gelen konumlarına taşıyın.

    NODE_NAME=<SERVER_NODE_NAME>
    mkdir /etc/filebeat/certs
    mv -n wazuh-install-files/$NODE_NAME.pem /etc/filebeat/certs/filebeat.pem
    mv -n wazuh-install-files/$NODE_NAME-key.pem /etc/filebeat/certs/filebeat-key.pem
    cp wazuh-install-files/root-ca.pem /etc/filebeat/certs/
    chmod 500 /etc/filebeat/certs
    chmod 400 /etc/filebeat/certs/*
    chown -R root:root /etc/filebeat/certs
  8. Filebeat servisini etkinleştirin ve başlatın.

    Systemd

    systemctl daemon-reload
    systemctl enable filebeat
    systemctl start filebeat


    SysV Başlatma 

    Kullanılan işletim sistemine göre bir seçenek seçin.

    1. RPM tabanlı işletim sistemi:

    chkconfig --add filebeat
    service filebeat start
    1. Debian tabanlı işletim sistemi:

    update-rc.d filebeat defaults 95 10
    service filebeat start
  9. Filebeat'in başarıyla yüklendiğinden emin olmak için aşağıdaki komutu çalıştırın.

    filebeat test output

    Örnek yanıtı görmek için çıktıyı genişletin.

    Output
    elasticsearch: https://127.0.0.1:9200...
      parse url... OK
      connection...
        parse host... OK
        dns lookup... OK
        addresses: 127.0.0.1
        dial up... OK
      TLS...
        security: server's certificate chain verification is enabled
        handshake... OK
        TLS version: TLSv1.3
        dial up... OK
      talk to server... OK
      version: 7.10.2

Wazuh sunucu düğümünüz artık başarıyla kuruldu. Kümenizdeki her Wazuh sunucu düğümü için bu kurulum süreci aşamasının adımlarını tekrarlayın, aşağıdaki çoklu düğüm dağıtımı için Wazuh küme yapılandırmasını genişletin ve ardından Wazuh kümesini yapılandırmaya devam edin. Wazuh sunucu tek düğümlü bir küme istiyorsanız, her şey ayarlanmıştır ve doğrudan Wazuh panosu kurulumuna geçebilirsiniz.

  NAME         TYPE    VERSION  ADDRESS
  master-node  master  4.9.2   10.0.0.3
  worker-node1 worker  4.9.2   10.0.0.4
  worker-node2 worker  4.9.2   10.0.0.5

Wazuh sunucusunun her node'a kurulumunu tamamladıktan sonra, yalnızca bir sunucu node'unu master olarak, geri kalanını ise workers olarak yapılandırmanız gerekiyor.

Wazuh sunucu ana düğümünü yapılandırma
  1. Yapılandırma dosyasında aşağıdaki ayarları düzenleyin /var/ossec/etc/ossec.conf.

    <cluster>
      <name>wazuh</name>
      <node_name>master-node</node_name>
      <node_type>master</node_type>
      <key>c98b62a9b6169ac5f67dae55ae4a9088</key>
      <port>1516</port>
      <bind_addr>0.0.0.0</bind_addr>
      <nodes>
        <node>WAZUH-MASTER-ADDRESS</node>
      </nodes>
      <hidden>no</hidden>
      <disabled>no</disabled>
    </cluster>
    

    Yapılandırılacak parametreler:

    isim

    Kümenin adını belirtir.

    düğüm_adı

    Mevcut düğümün adını belirtir.

    düğüm_türü

    Düğümün rolünü belirtir. Olarak ayarlanması gerekir master.

    anahtar

    Küme düğümleri arasındaki iletişimi şifrelemek için kullanılan anahtar. Anahtar 32 karakter uzunluğunda olmalı ve kümedeki tüm düğümler için aynı olmalıdır. Aşağıdaki komut rastgele bir anahtar oluşturmak için kullanılabilir: .openssl rand -hex 16

    liman

    Küme iletişimi için hedef portunu belirtir.

    bağ_adresi

    Düğümün gelen istekleri dinlemek için bağlandığı ağ IP'sidir (herhangi bir IP için 0.0.0.0).

    düğümler

    Bu, adresidir ve bir IP veya DNS olabilir. Bu parametre, ana bilgisayarın kendisi de dahil olmak üzere tüm düğümlerde belirtilmelidir.master node

    gizlenmiş

    Oluşturulan uyarılarda küme bilgilerinin gösterilmesini veya gizlenmesini sağlar.

    engelli

    Düğümün kümede etkin mi yoksa devre dışı mı olduğunu gösterir. Bu seçenek olarak ayarlanmalıdır no.

  2. Wazuh yöneticisini yeniden başlatın.

    Systemd

    systemctl restart wazuh-manager
    SysV Başlatma
    service wazuh-manager restart

Wazuh Sunucusu Çalışan Düğümlerini Yapılandırma
  1. Dosyadaki aşağıdaki ayarları düzenleyerek küme düğümünü yapılandırın /var/ossec/etc/ossec.conf.

    <cluster>
        <name>wazuh</name>
        <node_name>worker-node</node_name>
        <node_type>worker</node_type>
        <key>c98b62a9b6169ac5f67dae55ae4a9088</key>
        <port>1516</port>
        <bind_addr>0.0.0.0</bind_addr>
        <nodes>
            <node>WAZUH-MASTER-ADDRESS</node>
        </nodes>
        <hidden>no</hidden>
        <disabled>no</disabled>
    </cluster>
    

    Yapılandırılacak parametreler:

    isim

    Kümenin adını belirtir.

    düğüm_adı

    Geçerli düğümün adını belirtir. Kümenin her düğümünün benzersiz bir adı olmalıdır.

    düğüm_türü

    Düğümün rolünü belirtir. Olarak ayarlanması gerekir worker.

    anahtar

    Düğüm için daha önce oluşturulan anahtar master. Tüm düğümler için aynı olması gerekir.

    düğümler

    Adresini içermesi gerekir ve bir IP veya DNS olabilir.master node

    engelli

    Düğümün kümede etkin mi yoksa devre dışı mı olduğunu gösterir. olarak ayarlanması gerekir no.

  2. Wazuh yöneticisini yeniden başlatın.

    Systemd

    systemctl restart wazuh-manager

    SysV Başlatma

    systemctl restart wazuh-manager

Kümenizdeki her Wazuh sunucu çalışan düğümü için bu yapılandırma adımlarını tekrarlayın.

Wazuh sunucu kümesini test etme


Wazuh kümesinin etkinleştirildiğini ve tüm düğümlerin bağlı olduğunu doğrulamak için aşağıdaki komutu yürütün:

/var/ossec/bin/cluster_control -l

Komutun örnek çıktısı aşağıdaki gibidir:

Output

10.0.0.310.0.0.4, örnek 10.0.0.5IP'lerdir.


Wazuh Dashboard Kurulumu

RPM
Wazuh panosu düğümüne aşağıdaki bağımlılıkların yüklenmesi gerekir.

DEB
Wazuh panosu düğümüne aşağıdaki bağımlılıkların yüklenmesi gerekir.

  1. Wazuh panosunu yüklemek için aşağıdaki komutları çalıştırın.

    RPM
    rpm --import ./wazuh-offline/wazuh-files/GPG-KEY-WAZUH
    rpm -ivh ./wazuh-offline/wazuh-packages/wazuh-dashboard*.rpm

    DEB
    dpkg -i ./wazuh-offline/wazuh-packages/wazuh-dashboard*.deb

  2. <DASHBOARD_NODE_NAME>>Wazuh panonuzun düğüm adıyla değiştirin , config.ymlsertifikaları oluşturmak için kullanılanla aynı. Örneğin, dashboard. Ardından, sertifikaları karşılık gelen konumlarına taşıyın.

    NODE_NAME=<DASHBOARD_NODE_NAME>>
    mkdir /etc/wazuh-dashboard/certs
    mv -n wazuh-install-files/$NODE_NAME.pem /etc/wazuh-dashboard/certs/dashboard.pem
    mv -n wazuh-install-files/$NODE_NAME-key.pem /etc/wazuh-dashboard/certs/dashboard-key.pem
    cp wazuh-install-files/root-ca.pem /etc/wazuh-dashboard/certs/
    chmod 500 /etc/wazuh-dashboard/certs
    chmod 400 /etc/wazuh-dashboard/certs/*
    chown -R wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs
  3. Dosyayı düzenleyin /etc/wazuh-dashboard/opensearch_dashboards.ymlve aşağıdaki değerleri değiştirin:

    1. server.host: Bu ayar, arka uç sunucusunun ana bilgisayarını belirtir. Uzak kullanıcıların bağlanmasına izin vermek için, değeri Wazuh panosunun IP adresine veya DNS adına ayarlayın. Değer, 0.0.0.0ana bilgisayarın tüm kullanılabilir IP adreslerini kabul edecektir.

    2. opensearch.hosts: Tüm sorgularınız için kullanılacak Wazuh dizinleyici örneklerinin URL'leri. Wazuh panosu, aynı kümedeki birden fazla Wazuh dizinleyici düğümüne bağlanacak şekilde yapılandırılabilir. Düğümlerin adresleri virgülle ayrılabilir. Örneğin, ["https://10.0.0.2:9200", "https://10.0.0.3:9200","https://10.0.0.4:9200"]

         server.host: 0.0.0.0
         server.port: 443
         opensearch.hosts: https://127.0.0.1:9200
         opensearch.ssl.verificationMode: certificate
      
  4. Wazuh panosunu etkinleştirin ve başlatın.

    Systemd

    systemctl daemon-reload
    systemctl enable wazuh-dashboard
    systemctl start wazuh-dashboard

     

    SysV Başlatma

    İşletim sisteminize göre bir seçenek seçin:

    1. RPM tabanlı işletim sistemi:

      chkconfig --add wazuh-dashboard
      service wazuh-dashboard start


    2. Debian tabanlı işletim sistemi:

    update-rc.d wazuh-dashboard defaults 95 10
    service wazuh-dashboard start


  5. Dosyayı düzenleyin /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.ymlve urldeğeri Wazuh sunucusu ana düğümünün IP adresi veya ana bilgisayar adıyla değiştirin.

    hosts:
      - default:
          url: https://<WAZUH_SERVER_IP_ADDRESS>
          port: 55000
          username: wazuh-wui
          password: wazuh-wui
          run_as: false
    
  6. Wazuh panosu hizmetinin etkin olduğunu doğrulamak için aşağıdaki komutu çalıştırın.

    Systemd

    systemctl status wazuh-dashboard


    SysV Başlatma

    service wazuh-dashboard status

  7. Web arayüzüne erişin.

    • URL: https://<WAZUH_DASHBOARD_IP_ADRESİ>

    • Kullanıcı adı : admin

    • Şifre : admin

Wazuh panosuna ilk erişimde, tarayıcı sertifikanın güvenilir bir otorite tarafından verilmediğini belirten bir uyarı mesajı gösterir. Web tarayıcısının gelişmiş seçeneklerinde bir istisna eklenebilir veya daha fazla güvenlik için root-ca.pemdaha önce oluşturulan dosya tarayıcının sertifika yöneticisine aktarılabilir. Alternatif olarak, güvenilir bir otoritenin sertifikası yapılandırılabilir.

Wazuh Kurulumunuzun Güvenliğini Sağlama

Artık tüm Wazuh merkezi bileşenlerini yüklediniz ve yapılandırdınız. Altyapınızı olası saldırılardan korumak için varsayılan kimlik bilgilerini değiştirmenizi öneririz.

Dağıtım türünüzü seçin ve hem Wazuh API'si hem de Wazuh dizinleyici kullanıcıları için varsayılan parolaları değiştirmek üzere talimatları izleyin.
 

Hepsi Bir Arada Dağıtım

  1. Tüm dahili kullanıcılarınızın şifrelerini değiştirmek için Wazuh şifre aracını kullanın.

    /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh --api --change-all --admin-user wazuh --admin-password wazuh
    Output

    INFO: The password for user admin is yWOzmNA.?Aoc+rQfDBcF71KZp?1xd7IO
    INFO: The password for user kibanaserver is nUa+66zY.eDF*2rRl5GKdgLxvgYQA+wo
    INFO: The password for user kibanaro is 0jHq.4i*VAgclnqFiXvZ5gtQq1D5LCcL
    INFO: The password for user logstash is hWW6U45rPoCT?oR.r.Baw2qaWz2iH8Ml
    INFO: The password for user readall is PNt5K+FpKDMO2TlxJ6Opb2D0mYl*I7FQ
    INFO: The password for user snapshotrestore is +GGz2noZZr2qVUK7xbtqjUup049tvLq.
    WARNING: Wazuh indexer passwords changed. Remember to update the password in the Wazuh dashboard and Filebeat nodes if necessary, and restart the services.
    INFO: The password for Wazuh API user wazuh is JYWz5Zdb3Yq+uOzOPyUU4oat0n60VmWI
    INFO: The password for Wazuh API user wazuh-wui is +fLddaCiZePxh24*?jC0nyNmgMGCKE+2
    INFO: Updated wazuh-wui user password in wazuh dashboard. Remember to restart the service.
    

Dağıtılmış Dağıtım

  1. Herhangi bir Wazuh dizinleyici düğümünde , Wazuh dizinleyici kullanıcılarının parolalarını değiştirmek için Wazuh parolaları aracını kullanın.

    /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh --change-all
    Output
    INFO: Wazuh API admin credentials not provided, Wazuh API passwords not changed.
    INFO: The password for user admin is wcAny.XUwOVWHFy.+7tW9l8gUW1L8N3j
    INFO: The password for user kibanaserver is qy6fBrNOI4fD9yR9.Oj03?pihN6Ejfpp
    INFO: The password for user kibanaro is Nj*sSXSxwntrx3O7m8ehrgdHkxCc0dna
    INFO: The password for user logstash is nQg1Qw0nIQFZXUJc8r8+zHVrkelch33h
    INFO: The password for user readall is s0iWAei?RXObSDdibBfzSgXdhZCD9kH4
    INFO: The password for user snapshotrestore is Mb2EHw8SIc1d.oz.nM?dHiPBGk7s?UZB
    WARNING: Wazuh indexer passwords changed. Remember to update the password in the Wazuh dashboard and Filebeat nodes if necessary, and restart the services.
    
  2. Wazuh sunucunuzun ana düğümünde , yönetici kullanıcılarının varsayılan parolasını değiştirin: wazuh ve wazuh-wui . Aşağıdaki komutların 127.0.0.1 kullandığını unutmayın, gerekirse Wazuh yöneticinizin IP adresini ayarlayın.

    1. Yetkilendirme TOKEN'ı alın.

      TOKEN=$(curl -u wazuh-wui:wazuh-wui -k -X GET "https://127.0.0.1:55000/security/user/authenticate?raw=true")
    2. Wazuh kullanıcı kimlik bilgilerini (ID 1) değiştirin . 8 ila 64 karakter uzunluğunda bir parola seçin, en az bir büyük harf ve bir küçük harf, bir sayı ve bir sembol içermelidir. Daha fazla bilgi edinmek için PUT /security/users/{user_id} bölümüne bakın .

      curl -k -X PUT "https://127.0.0.1:55000/security/users/1" -H "Authorization: Bearer $TOKEN" -H 'Content-Type: application/json' -d'
      {
        "password": "SuperS3cretPassword!"
      }'
      
      Output
      {"data": {"affected_items": [{"id": 1, "username": "wazuh", "allow_run_as": true, "roles": [1]}], "total_affected_items": 1, "total_failed_items": 0, "failed_items": []}, "message": "User was successfully updated", "error": 0}
      
    3. Wazuh-wui kullanıcı kimlik bilgilerini (ID 2) değiştirin .

      curl -k -X PUT "https://127.0.0.1:55000/security/users/2" -H "Authorization: Bearer $TOKEN" -H 'Content-Type: application/json' -d'
      {
        "password": "SuperS3cretPassword!"
      }'
      
      Output
      {"data": {"affected_items": [{"id": 2, "username": "wazuh-wui", "allow_run_as": true, "roles": [1]}], "total_affected_items": 1, "total_failed_items": 0, "failed_items": []}, "message": "User was successfully updated", "error": 0}
      

    Ek güvenlik yapılandırmaları için Wazuh API'sini Güvence Altına Alma bölümüne bakın.

    Not:  Bu şifreleri güvenli bir yerde saklamayı unutmayın.

     


  3. Tüm Wazuh sunucu düğümlerinizde , Filebeat anahtar deposundaki yönetici parolasını güncellemek için aşağıdaki komutu çalıştırın . <ADMIN_PASSWORD>İlk adımda oluşturulan rastgele parola ile değiştirin.

    echo <ADMIN_PASSWORD> | filebeat keystore add password --stdin --force
  4. Değişikliği uygulamak için Filebeat'i yeniden başlatın.

    Systemd

    systemctl restart filebeat


    SysV Başlatma

    service filebeat restart

    Not:  3. ve 4. adımları her Wazuh sunucu düğümünde tekrarlayın.

     
  5. Wazuh kontrol paneli düğümünüzde , Wazuh kontrol paneli anahtar deposundaki kibanaserver parolasını güncellemek için aşağıdaki komutu çalıştırın . <KIBANASERVER_PASSWORD>İlk adımda oluşturulan rastgele parola ile değiştirin.

    echo <KIBANASERVER_PASSWORD> | /usr/share/wazuh-dashboard/bin/opensearch-dashboards-keystore --allow-root add -f --stdin opensearch.password
  6. İkinci adımda oluşturulan /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.ymlyeni wazuh-wui şifresi ile yapılandırma dosyasını güncelleyin.

    hosts:
      - default:
          url: https://127.0.0.1
          port: 55000
          username: wazuh-wui
          password: "<wazuh-wui-password>"
          run_as: false
    
  7. Değişiklikleri uygulamak için Wazuh panosunu yeniden başlatın.

    Systemd

    systemctl restart wazuh-dashboard


    SysV Başlatma 

    service wazuh-dashboard restart

Sonraki Adımlar

Wazuh ortamı hazır olduğunda, izlenecek her uç noktaya Wazuh aracıları yüklenebilir. Wazuh aracılarını yüklemek ve uç noktaları izlemeye başlamak için Wazuh aracı yükleme bölümüne bakın. Bunları çevrimdışı yüklemeniz gerekiyorsa, izlenen sisteminiz için indirilecek uygun aracı paketini Wazuh aracı paketleri listesi bölümünden kontrol edebilirsiniz.

Tüm Wazuh Central bileşenlerini kaldırmak için Wazuh Central bileşenlerini kaldırma bölümüne bakın.

Kaynaklardan Kurulum

Wazuh yöneticisi ve aracısı, paketlerden kuruluma alternatif olarak kaynaklar aracılığıyla da kurulabilir.

Kaynaklardan Kurulum

Wazuh Yöneticisini Kaynaklardan Yükleme

Wazuh sunucusu, dağıtılan aracılardan alınan verileri toplar ve analiz eder. Wazuh yöneticisini, Wazuh API'sini ve Filebeat'i çalıştırır.

Wazuh yönetici paketi ve uyumlu ajan paketleri Paketler listesi bölümünden kontrol edilebilir veya indirilebilir .

Bağımlılıkları Yükleme

YUM

CentOS 7

yum update -y
yum install make gcc gcc-c++ policycoreutils-python automake autoconf libtool centos-release-scl openssl-devel wget bzip2 devtoolset-7 procps -y
curl -OL http://packages.wazuh.com/utils/gcc/gcc-9.4.0.tar.gz && tar xzf gcc-9.4.0.tar.gz  && cd gcc-9.4.0/ && ./contrib/download_prerequisites && ./configure --enable-languages=c,c++ --prefix=/usr --disable-multilib --disable-libsanitizer && make -j$(nproc) && make install && ln -fs /usr/bin/g++ /bin/c++ && ln -fs /usr/bin/gcc /bin/cc && cd .. && rm -rf gcc-* && scl enable devtoolset-7 bash

CMake 3.18 kurulumu.

curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install
cd .. && rm -rf cmake-*


CentOS 8

yum install make cmake gcc gcc-c++ python3 python3-policycoreutils automake autoconf libtool openssl-devel yum-utils procps -y
curl -OL http://packages.wazuh.com/utils/gcc/gcc-9.4.0.tar.gz && tar xzf gcc-9.4.0.tar.gz  && cd gcc-9.4.0/ && ./contrib/download_prerequisites && ./configure --enable-languages=c,c++ --prefix=/usr --disable-multilib --disable-libsanitizer && make -j$(nproc) && make install && ln -fs /usr/bin/g++ /bin/c++ && ln -fs /usr/bin/gcc /bin/cc && cd .. && rm -rf gcc-* && scl enable devtoolset-7 bash
yum-config-manager --enable powertools
yum install libstdc++-static -y

Kaynaklardan isteğe bağlı CMake 3.18 kurulumu

curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install
cd .. && rm -rf cmake-*
export PATH=/usr/local/bin:$PATH

APT

apt-get update
apt-get install python gcc g++ make libc6-dev curl policycoreutils automake autoconf libtool libssl-dev procps

CMake 3.18 kurulumu.


curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install
cd .. && rm -rf cmake-*

İsteğe bağlı: Aşağıdaki bağımlılıkları yalnızca CPython'u kaynaklardan derlerken yükleyin. v4.2.0'dan beri, yüklenmeye hazır taşınabilir bir CPython sürümü indirecektir. Yine de, 'yi çalıştırırken bayrağı ekleyerek CPython kaynaklarını indirebilirsiniz .make deps TARGET=serverPYTHON_SOURCEmake deps

Python yorumlayıcısını derlemek için gereken bağımlılıkları yüklemek için şu adımları izleyin:

Yum

yum install epel-release yum-utils -y
yum-builddep python34 -y

APT

echo "deb-src http://archive.ubuntu.com/ubuntu $(lsb_release -cs) main" >> /etc/apt/sources.list
apt-get update
apt-get build-dep python3 -y

Not:  Önceki komuttan alınan Python sürümü, ikili dosyaları derlemek için kullanılan işletim sistemine bağlı olarak değişebilir. Daha fazla bilgi için Bağımlılıkları yükleyin .

Wazuh yYöneticisinin Kurulumu

  1. En son sürümü indirin ve çıkarın:

    curl -Ls https://github.com/wazuh/wazuh/archive/v4.9.2.tar.gz | tar zx
    cd wazuh-4.9.2
  2. Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizleyin src/:

    make -C src clean
    make -C src clean-deps
  3. Betiği çalıştırın install.sh. Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbaz görüntüler:


    Uyarı:  Veritabanı çıktısını etkinleştirmek istiyorsanız, kurulum betiğini çalıştırmadan önce bu bölümü inceleyin.



    ./install.sh

    İlk çalıştırma, güvenlik açığı algılama içeriğini indirip işlediği için biraz zaman alabilir . Bu süreci hızlandırmak için DOWNLOAD_CONTENTortam değişkenini önceden olarak ayarlayabilirsiniz y. Ayarlanan komut, kurulum sırasında önceden hazırlanmış bir veritabanını indirir.

    DOWNLOAD_CONTENT=y ./install.sh
  4. Script size ne tür bir kurulum istediğinizi sorduğunda managerWazuh yöneticisini kurmak için şunu yazın:

    1- What kind of installation do you want (manager, agent, local, hybrid, or help)? manager

     

    Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın ./install.shve dili seçin, kurulum modunu olarak ayarlayın manager, ardından kurulum yolunu ( ) ayarlayın. Varsayılan kurulum yolu 'dir . Yaygın olarak kullanılan özel bir yol . olabilir .Choose where to install Wazuh [/var/ossec]/var/ossec/opt

     

     

    Uyarı:  Varsayılandan farklı bir yol seçerseniz kritik bir kurulum dizini seçmemeye son derece dikkat edin. Dizin zaten mevcutsa, yükleyici dizini silmenizi veya Wazuh'u içine kurarak devam etmenizi isteyecektir.

  5. Kurulum programı kurulumun sonunda Wazuh'u başlatmak isteyip istemediğinizi sorar. Eğer istemezseniz, daha sonra şu şekilde başlatabilirsiniz:

    Systemd

    systemctl start wazuh-manager


    SysV Başlatma

    service wazuh-manager start

Diğer Wazuh Bileşenlerinin Kurulumu

Wazuh yöneticisi kaynaklardan yüklendikten sonra Kurulum kılavuzunu izleyerek Wazuh indeksleyicisini, Filebeat'i ve Wazuh panosunu yükleyebilirsiniz .

Kaldır

  1. Wazuh yöneticisini kaldırmak için WAZUH_HOMEgeçerli kurulum yolunu ayarlayın:

    WAZUH_HOME="/WAZUH/INSTALLATION/PATH"
  2. Hizmeti durdurun:

    service wazuh-manager stop 2> /dev/null
  3. Daemon'u durdurun:

    $WAZUH_HOME/bin/wazuh-control stop 2> /dev/null
  4. Kurulum klasörünü ve tüm içeriğini kaldırın:

    rm -rf $WAZUH_HOME
  5. Hizmeti silin:

    Systemd

    find /etc/systemd/system -name "wazuh*" | xargs rm -f
    systemctl daemon-reload


    SysV Başlatma

    [ -f /etc/rc.local ] && sed -i'' '/wazuh-control start/d' /etc/rc.local
    find /etc/{init.d,rc*.d} -name "*wazuh*" | xargs rm -f


  6. Wazuh kullanıcı ve grubunu kaldır:

    userdel wazuh 2> /dev/null
    groupdel wazuh 2> /dev/null
Kaynaklardan Kurulum

Wazuh Aracısını Kaynaklardan Yükleme - Linux

Not:  Aşağıda açıklanan tüm komutları çalıştırmak için kök kullanıcı ayrıcalıklarına ihtiyacınız var. Wazuh 3.5'ten beri, bu işlemi takip ederken bir İnternet bağlantısına sahip olmak gerekir.

Not:  CMake 3.12.4, Wazuh aracı çözümünü derlemek için gereken en düşük kütüphane sürümüdür.

Not:  GCC 9.4, Wazuh aracı çözümünü derlemek için gereken en düşük derleyici sürümüdür. 

  1. Geliştirme araçlarını ve derleyicileri kurun. Linux'ta bu, dağıtımınızın paket yöneticisini kullanarak kolayca yapılabilir:

    Yum

    CentOS 6/7

    yum update -y
    yum install make gcc gcc-c++ policycoreutils-python automake autoconf libtool centos-release-scl openssl-devel wget bzip2 procps -y
    curl -OL http://packages.wazuh.com/utils/gcc/gcc-9.4.0.tar.gz && tar xzf gcc-9.4.0.tar.gz  && cd gcc-9.4.0/ && ./contrib/download_prerequisites && ./configure --enable-languages=c,c++ --prefix=/usr --disable-multilib --disable-libsanitizer && make -j$(nproc) && make install && ln -fs /bin/g++ /usr/bin/c++ && ln -fs /bin/gcc /usr/bin/cc && cd .. && rm -rf gcc-*

    CMake 3.18 kurulumu

    curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz
    cd cmake-3.18.3 && ./bootstrap --no-system-curl
    make -j$(nproc) && make install
    cd .. && rm -rf cmake-*

    CentOS 8
    yum install make gcc gcc-c++ python3 python3-policycoreutils automake autoconf libtool openssl-devel cmake procps -y
    curl -OL http://packages.wazuh.com/utils/gcc/gcc-9.4.0.tar.gz && tar xzf gcc-9.4.0.tar.gz  && cd gcc-9.4.0/ && ./contrib/download_prerequisites && ./configure --enable-languages=c,c++ --prefix=/usr --disable-multilib --disable-libsanitizer && make -j$(nproc) && make install && ln -fs /bin/g++ /usr/bin/c++ && ln -fs /bin/gcc /usr/bin/cc && cd .. && rm -rf gcc-*
    yum-config-manager --enable powertools
    yum install libstdc++-static -y

    CMake 3.18 kurulumu

    curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install
    cd .. && rm -rf cmake-*
    export PATH=/usr/local/bin:$PATH

    APT

    apt-get install python gcc g++ make libc6-dev curl policycoreutils automake autoconf libtool libssl-dev procps

    CMake 3.18 kurulumu

    curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install
    cd .. && rm -rf cmake-*

    ZYpp

    zypper install -y make gcc gcc-c++ policycoreutils-python automake autoconf libtool libopenssl-devel curl

    CMake 3.18 kurulumu

    curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install
    cd .. && rm -rf cmake-*

    Not:  Suse 11 için bazı araçların paket yöneticisinde bulunmaması mümkün olabilir, bu durumda aşağıdaki resmi depoları ekleyebilirsiniz:

    zypper addrepo http://download.opensuse.org/distribution/11.4/repo/oss/ oss


    Pacman

    Wazuh'u derlemek için önerilen sürüm GCC/G++ 9.4'tür.

    pacman --noconfirm -Syu curl gcc make sudo wget expect gnupg perl-base perl fakeroot python brotli automa

  2. En son sürümü indirin ve çıkarın:

    curl -Ls https://github.com/wazuh/wazuh/archive/v4.9.2.tar.gz | tar zx
  3. Betiği çalıştırın install.sh. Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır:

    cd wazuh-4.9.2
    ./install.sh

    Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizlemelisiniz src:

    cd wazuh-4.9.2
    make -C src clean
    make -C src clean-deps

    Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın ./install.shve dili seçin, kurulum modunu olarak ayarlayın agent, ardından kurulum yolunu (.Choose where to install Wazuh [/var/ossec]) ayarlayın. Varsayılan kurulum yolu /var/ossec'dir . Yaygın olarak kullanılan özel bir yol /opt olabilir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmeyi veya içine Wazuh'u yüklemeyi isteyecektir. Ayrıca gözetimsiz bir kurulum da çalıştırabilirsiniz.


  4. Komut dosyası ne tür bir kurulum istediğinizi soracaktır. Wazuh aracısını kurmak için aracı yazın:


    Output
    1- What kind of installation do you want (manager, agent, local, hybrid or help)? agent
    

Sonraki adımlar

Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen Wazuh aracı kayıt bölümünü kontrol edin.

Kaldır

Wazuh aracısını kaldırmak için WAZUH_HOME'u geçerli yükleme yoluyla ayarlayın:

WAZUH_HOME="/WAZUH/INSTALLATION/PATH"

Hizmeti durdurun:

service wazuh-agent stop 2> /dev/null

Daemon'u durdurun:

$WAZUH_HOME/bin/wazuh-control stop 2> /dev/null

Kurulum klasörünü ve tüm içeriğini kaldırın:

rm -rf $WAZUH_HOME

Hizmeti silin:


SysV Başlatma

[ -f /etc/rc.local ] && sed -i'' '/wazuh-control start/d' /etc/rc.local
find /etc/{init.d,rc*.d} -name "*wazuh*" | xargs rm -f


Systemd

find /etc/systemd/system -name "wazuh*" | xargs rm -f
systemctl daemon-reload

Wazuh kullanıcı ve grubunu kaldır:

userdel wazuh 2> /dev/null
groupdel wazuh 2> /dev/null

curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install
cd .. && rm -rf cmake-*
export PATH=/usr/local/bin:$PATH

Kaynaklardan Kurulum

Wazuh Aracısını Kaynaklardan Yükleme - Windows

Not:  Aşağıdaki prosedür Ubuntu 22.04'te test edilmiştir ve diğer Debian/Ubuntu sürümlerinde de çalışabilir. MinGW 10 kullanmak gerekir.

  1. Ubuntu yapı ortamını kurun. Ubuntu'da Windows Wazuh aracı yükleyicisini oluşturmak için bu bağımlılıkları yükleyin:

    apt-get install curl gcc-mingw-w64 g++-mingw-w64-i686 g++-mingw-w64-x86-64 nsis make cmake
  2. Windows yapı ortamını kurun. Yükleyiciyi oluşturmak için, Windows makinesinde aşağıdaki bağımlılıkların bulunması gerekir:

    • WiX Araç Seti .

    • .NET çerçevesi 3.5.1.

    • Microsoft Windows SDK'sı.

  3. Wazuh kaynak kodunu Ubuntu makinesine indirin ve sıkıştırılmış dosyayı açın:

    curl -Ls https://github.com/wazuh/wazuh/archive/v4.9.2.tar.gz | tar zx
    cd wazuh-4.9.2/src
  4. Aşağıdaki komutu çalıştırarak Agent'ı derleyin make:

    make deps TARGET=winagent
    make TARGET=winagent

    İnşa sürecinin sonunda aşağıdaki çıktı görünecektir:

    Output
    Done building winagent
    
  5. Tüm depoyu Windows makinesine taşır. İşlemi hızlandırmak için sıkıştırılması önerilir.

    cd ../.. && zip -r wazuh.zip wazuh-4.9.2
  6. Depoyu Windows makinesinde açın, wazuh-installer-build-msi.batbetiği win32 klasöründen çalıştırın.

    cd wazuh-4.9.2\src\win32
     .\wazuh-installer-build-msi.bat

    Eğer yükleyiciyi imzalamak istemiyorsanız, önceki scriptte signtool satırını yorum olarak yazmanız veya silmeniz gerekecektir.

    :: signtool sign /a /tr http://timestamp.digicert.com /d "%MSI_NAME%" /fd SHA256 /td SHA256 "%MSI_NAME%"
  7. İstendiğinde sürümü ve revizyon numarasını belirtin. Bu aynı zamanda Windows yükleyici dosyasını da oluşturacaktır. Aşağıdaki çıktıda sürüm 4.9.2 olarak ayarlanmıştır ve revizyon 1 olarak ayarlanmıştır. Bu, Windows yükleyicisini oluştururwazuh-agent-4.9.2-1.msi


    C:\wazuh\wazuh-4.9.2\src\win32>REM IF VERSION or REVISION are empty, ask for their value
    
    C:\wazuh\wazuh-4.9.2\src\win32>IF [] == [] set /p VERSION=Enter the version of the Wazuh agent (x.y.z):
    Enter the version of the Wazuh agent (x.y.z):4.9.2
    
    C:\wazuh\wazuh-4.9.2\src\win32>IF [] == [] set /p REVISION=Enter the revision of the Wazuh agent:
    Enter the revision of the Wazuh agent:1
    
    C:\wazuh\wazuh-4.9.2\src\win32>SET MSI_NAME=wazuh-agent-4.9.2-1.msi
    
  8. Kurulum kılavuzunu izleyerek wazuh-agent-4.9.2-1.msi kurulumunu gerçekleştirin .

Sonraki adımlar

Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen Wazuh aracı kayıt bölümünü kontrol edin.

Kaldır

Aracı kaldırmak için, gözetimsiz işlemi gerçekleştirmek üzere orijinal MSI dosyasına ihtiyaç duyulacaktır:

msiexec.exe /x wazuh-agent-4.9.2-1.msi /qn
Kaynaklardan Kurulum

Wazuh Aracısını Kaynaklardan Yükleme - macOS

  1. macOS için bir paket yöneticisi olan brew'u kurun:

    $ /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
    

    Uyarı:  Bazı macOS sürümlerinde, bu ilk komut homebrew/core'un sığ klon olduğunu bildirerek başarısız olabilir. Bu olursa, sorunu çözmek için aşağıdaki komutları çalıştırın.


    rm -rf "/usr/local/Homebrew/Library/Taps/homebrew/homebrew-core"
    brew tap homebrew/core

    Daha sonra brew'u düzgün bir şekilde kurmak için ilkini tekrar çalıştırın:
    /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)


    /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"


  2. Geliştirme araçlarını ve derleyicileri brew aracılığıyla kurun.

    brew install automake autoconf libtool cmake
  3. En son sürümü indirin ve çıkarın:

    curl -Ls https://github.com/wazuh/wazuh/archive/v4.9.2.tar.gz | tar zx

    Not:  Aşağıda anlatılan tüm komutların root kullanıcı ayrıcalıklarıyla yürütülmesi gerekmektedir.

     


  4. Betiği çalıştırın install.sh. Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır:

    cd wazuh-4.9.2
    USER_DIR="/Library/Ossec" ./install.sh

    Not:  Değişkenle birlikte USER_DIR, aracı yükleme yolunun belirtildiğini unutmayın/Library/Ossec

     


    Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizlemelisiniz src:

    cd wazuh-4.9.2
    make -C src clean
    make -C src clean-deps

    Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın ./install.shve dili seçin, kurulum modunu olarak ayarlayın agent, ardından kurulum yolunu ( ) ayarlayın. Varsayılan kurulum yolu 'dir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmenizi veya Wazuh'u içine kurarak devam etmenizi isteyecektir. Ayrıca gözetimsiz bir kurulum da çalıştırabilirsiniz .Choose where to install Wazuh [/Library/Ossec]/Library/Ossec


  5. Komut dosyası ne tür bir kurulum istediğinizi soracaktır. Wazuh aracısını kurmak için aracı yazın:

    Output
    1- What kind of installation do you want (manager, agent, local, hybrid, or help)? agent

Sonraki adımlar

Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen Wazuh aracı kayıt bölümünü kontrol edin.

Kaldır

Wazuh aracısını kaldırmak için WAZUH_HOMEgeçerli kurulum yolunu ayarlayın:

WAZUH_HOME="/WAZUH/INSTALLATION/PATH"

Hizmeti durdurun:

service wazuh-agent stop 2> /dev/null

Daemon'u durdurun:

$WAZUH_HOME/bin/wazuh-control stop 2> /dev/null

Kurulum klasörünü ve tüm içeriğini kaldırın:

rm -rf $WAZUH_HOME

Hizmeti silin:

rm -rf /Library/StartupItems/WAZUH

Wazuh kullanıcı ve grubunu kaldır:

dscl . -delete "/Users/wazuh" > /dev/null 2>&1
dscl . -delete "/Groups/wazuh" > /dev/null 2>&1
Kaynaklardan Kurulum

Wazuh Aracısını Kaynaklardan Yükleme - AIX

Aşağıdaki kurulum prosedürü için desteklenen sürüm AIX 6.1 TL9 veya üzeridir.

Not:  Aşağıda açıklanan tüm komutların root kullanıcı ayrıcalıklarıyla yürütülmesi gerekir. Wazuh 3.5'ten beri, bu işlemi takip ederken bir İnternet bağlantısına sahip olmak gerekir.

 
  1. Geliştirme araçlarını ve derleyicileri kurun.

    1. Aracı indirin wget.

      rpm -Uvh --nodeps http://packages-dev.wazuh.com/deps/aix/wget-1.19-1.aix6.1.ppc.rpm
    2. Aşağıdaki betiği indirin.

      wget https://raw.githubusercontent.com/wazuh/wazuh-packages/4.9/aix/generate_wazuh_packages.sh --no-check-certificate

      Not:  Eğer scripti bu şekilde indiremiyorsanız, o zaman başka bir makine kullanarak indirip scp yardımcı programını kullanarak AIX makinesine kopyalamalısınız.

       
    3. Bash ve libiconv'u indirin.

      rpm -Uvh --nodeps http://packages-dev.wazuh.com/deps/aix/bash-4.4-4.aix6.1.ppc.rpm
      rpm -Uvh --nodeps http://packages-dev.wazuh.com/deps/aix/libiconv-1.14-22.aix6.1.ppc.rpm
    4. Gerekli bağımlılıkları scripti kullanarak kurun.

      chmod +x generate_wazuh_packages.sh
      ./generate_wazuh_packages.sh -e

    Not:  Bu adım birkaç dakika sürebilir.

     
  2. En son sürümü indirin.

    wget -O wazuh.tar.gz --no-check-certificate https://api.github.com/repos/wazuh/wazuh/tarball/v4.9.2
    gunzip -c wazuh.tar.gz | tar -xvf -

    Not:  Eğer deponuzu bu şekilde indiremiyorsanız scp yardımcı programını kullanarak kopyalamalısınız.

     
  3. Kaynakları derleyin.

    cd wazuh-4.9.2
    cd src
    gmake clean-deps
    gmake clean
    gmake deps TARGET=agent RESOURCES_URL=http://packages.wazuh.com/deps/27
    gmake TARGET=agent USE_SELINUX=no PREFIX=/var/ossec
  4. Betiği çalıştırın install.sh. Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır:

    cd ..
    ./install.sh

    Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizlemelisiniz src:

    gmake -C src clean-deps
    gmake -C src clean

    Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın ./install.shve dili seçin, kurulum modunu olarak ayarlayın agent, ardından kurulum yolunu ( ) ayarlayın. Varsayılan kurulum yolu 'dir . Yaygın olarak kullanılan özel bir yol . olabilir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmeyi veya Wazuh'u içine yüklemeyi isteyecektir. Ayrıca gözetimsiz bir kurulum da çalıştırabilirsiniz .Choose where to install Wazuh [/var/ossec]/var/ossec/opt


  5. Son olarak aşağıdaki yapılandırmayı uygulayın:

    sed '/System inventory/,/^$/{/^$/!d;}' /var/ossec/etc/ossec.conf > /var/ossec/etc/ossec.conf.tmp
    mv /var/ossec/etc/ossec.conf.tmp /var/ossec/etc/ossec.conf

    Not:  Yukarıdaki komutların varsayılan kurulum yolu için yürütüldüğünü unutmayın /var/ossec. Aracı başka bir yola kurduysanız, bu komutların yolunu değiştirmeniz gerekecektir.

     

Sonraki adımlar

Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen Wazuh aracı kayıt bölümünü kontrol edin.

Kaldır

Wazuh aracısını kaldırmak için WAZUH_HOMEgeçerli kurulum yolunu ayarlayın:

WAZUH_HOME="/WAZUH/INSTALLATION/PATH"

Hizmeti durdurun:

service wazuh-agent stop 2> /dev/null

Daemon'u durdurun:

$WAZUH_HOME/bin/wazuh-control stop 2> /dev/null

Kurulum klasörünü ve tüm içeriğini kaldırın:

rm -rf $WAZUH_HOME

Hizmeti silin:

find /etc/rc.d -name "*wazuh*" | xargs rm -f

Wazuh kullanıcı ve grubunu kaldır:

userdel wazuh 2> /dev/null
groupdel wazuh 2> /dev/null

Kaynaklardan Kurulum

Wazuh Aracısını Kaynaklardan Yükleme - HP-UX

Not:  Aşağıda açıklanan tüm komutların root kullanıcı ayrıcalıklarıyla yürütülmesi gerekir. Wazuh 3.5'ten beri, bu işlemi takip ederken bir İnternet bağlantısına sahip olmak gerekir.

  1. Geliştirme araçlarını ve derleyicileri kurun.

    1. Dosyayı indirin depothelper-2.10-hppa_32-11.31.depot.

      /usr/local/bin/wget https://github.com/wazuh/wazuh-packages/raw/master/hp-ux/depothelper-2.10-hppa_32-11.31.depot --no-check-certificate
       

      Not:  Eğer scripti bu şekilde indiremiyorsanız, o zaman başka bir makine kullanarak indirip scp yardımcı programını kullanarak HP-UX makinesine kopyalamalısınız.

    2. Paket yöneticisini yükleyin. Depo dosyasına giden mutlak yol kullanılır.

      swinstall -s /ABSOLUTE/PATH/depothelper-2.10-hppa_32-11.31.depot \*
    3. Aracı indirin wget(Eğer yüklü değilse).

      /usr/local/bin/depothelper -f wget
    4. Aşağıdaki betiği indirin

      /usr/local/bin/wget https://raw.githubusercontent.com/wazuh/wazuh-packages/master/hp-ux/generate_wazuh_packages.sh --no-check-certificate

       Not: Eğer scripti bu şekilde indiremiyorsanız scp yardımcı programını kullanarak kopyalamalısınız.

    5. Gerekli bağımlılıkları scripti kullanarak kurun.

       

      chmod +x generate_wazuh_packages.sh
      ./generate_wazuh_packages.sh -e

     

     

    Not:  Bu adım uzun sürebilir.

  2. En son sürümü indirin.

    /usr/local/bin/curl -k -L -O https://github.com/wazuh/wazuh/archive/v4.9.2.zip && /usr/local/bin/unzip v4.9.2


     

    Not:  Eğer deponuzu bu şekilde indiremiyorsanız scp yardımcı programını kullanarak kopyalamalısınız.

  3. Kaynakları derleyin.

    cd wazuh-4.9.2
    /usr/local/bin/gmake -C src deps RESOURCES_URL=http://packages.wazuh.com/deps/27 TARGET=agent
    /usr/local/bin/gmake -C src TARGET=agent USE_SELINUX=no
  4. Betiği çalıştırın install.sh. Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır:

    ./install.sh

    Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizlemelisiniz src:

    /usr/local/bin/gmake -C src clean-deps
    /usr/local/bin/gmake -C src clean


    Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın ./install.shve dili seçin, kurulum modunu olarak ayarlayın agent, ardından kurulum yolunu ( ) ayarlayın. Varsayılan kurulum yolu 'dir . Yaygın olarak kullanılan özel bir yol . olabilir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmeyi veya Wazuh'u içine yüklemeyi isteyecektir. Ayrıca gözetimsiz bir kurulum da çalıştırabilirsiniz .Choose where to install Wazuh [/var/ossec]/var/ossec/opt

Sonraki adımlar

Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen Wazuh aracı kayıt bölümünü kontrol edin.

Kaldır

Wazuh aracısını kaldırmak için WAZUH_HOMEgeçerli kurulum yolunu ayarlayın:

WAZUH_HOME="/WAZUH/INSTALLATION/PATH"

Hizmeti durdurun:

service wazuh-agent stop 2> /dev/null

Daemon'u durdurun:

$WAZUH_HOME/bin/wazuh-control stop 2> /dev/null

Kurulum klasörünü ve tüm içeriğini kaldırın:

rm -rf $WAZUH_HOME

Hizmeti silin:

find /sbin/{init.d,rc*.d} -name "*wazuh*" | xargs rm -f

Wazuh kullanıcı ve grubunu kaldır:

userdel wazuh 2> /dev/null
groupdel wazuh 2> /dev/null

Kaynaklardan Kurulum

Wazuh Aracısını Kaynaklardan Yükleme - Solaris

Bu bölümde, aşağıdaki Solaris sürümleri için Wazuh aracısının kaynaklardan nasıl indirileceği ve oluşturulacağı açıklanmaktadır:

Solaris 10

Not:  Aşağıda açıklanan tüm komutların root kullanıcı ayrıcalıklarıyla yürütülmesi gerekir. Wazuh 3.5'ten beri, bu işlemi takip ederken bir İnternet bağlantısına sahip olmak gerekir.

  1. Geliştirme araçlarını ve derleyicileri kurun.

    1. Bash kabuğunu çalıştırın ve pkgutil'i yükleyin.

      bash
      PATH="${PATH}:/usr/sbin:/usr/bin:/usr/sbin/:/opt/csw/gnu/:/usr/sfw/bin/:/opt/csw/bin/"
      export PATH
      pkgadd -d http://get.opencsw.org/now
    2. Aşağıdaki araçları yükleyin:

      /opt/csw/bin/pkgutil -y -i git cmake automake autoconf gmake libtool wget curl gcc5core gcc5g++ gtar
    3. gcc/g++ 5.5 derleyicisini indirin ve derleyin:

      curl -L http://packages.wazuh.com/utils/gcc/gcc-5.5.0.tar.gz | gtar xz && cd gcc-5.5.0
      curl -L http://packages.wazuh.com/utils/gcc/mpfr-2.4.2.tar.bz2 | gtar xj && mv mpfr-2.4.2 mpfr
      curl -L http://packages.wazuh.com/utils/gcc/gmp-4.3.2.tar.bz2 | gtar xj && mv gmp-4.3.2 gmp
      curl -L http://packages.wazuh.com/utils/gcc/mpc-0.8.1.tar.gz | gtar xz && mv mpc-0.8.1 mpc
      curl -L http://packages.wazuh.com/utils/gcc/isl-0.14.tar.bz2 | gtar xj && mv isl-0.14 isl
      unset CPLUS_INCLUDE_PATH && unset LD_LIBRARY_PATH
      export PATH=/usr/sbin:/usr/bin:/usr/ccs/bin:/opt/csw/bin
      mkdir -p /usr/local
      ./configure --prefix=/usr/local/gcc-5.5.0 --enable-languages=c,c++ --disable-multilib --disable-libsanitizer --disable-bootstrap --with-ld=/usr/ccs/bin/ld --without-gnu-ld --with-gnu-as --with-as=/opt/csw/bin/gas
      gmake && gmake install
      export CPLUS_INCLUDE_PATH=/usr/local/gcc-5.5.0/include/c++/5.5.0
      export LD_LIBRARY_PATH=/usr/local/gcc-5.5.0/lib
      echo "export PATH=/usr/sbin:/usr/bin:/usr/ccs/bin:/opt/csw/bin" >> /etc/profile
      echo "export CPLUS_INCLUDE_PATH=/usr/local/gcc-5.5.0/include/c++/5.5.0" >> /etc/profile
      echo "export LD_LIBRARY_PATH=/usr/local/gcc-5.5.0/lib" >> /etc/profile
      rm -rf gcc-*
      ln -sf /usr/local/gcc-5.5.0/bin/g++ /usr/bin/g++
      cd ..

      Not:  Adımın gmake tamamlanması birkaç dakika sürecektir. Bu normal bir davranıştır.

       

       

    4. cmake kütüphanesini kurun:

      curl -sL http://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz | gtar xz
      cd cmake-3.18.3
      ./bootstrap
      gmake && gmake install
      cd .. && rm -rf cmake-3.18.3
      ln -sf /usr/local/bin/cmake /usr/bin/cmake
    5. Perl 5.10.1’i indirin ve kurun.

      wget http://www.cpan.org/src/5.0/perl-5.10.1.tar.gz
      gunzip ./perl-5.10.1.tar.gz && tar xvf perl-5.10.1.tar
      cd perl-5.10.1
      ./Configure -Dcc=gcc -d -e -s
      gmake clean && gmake -d -s
      gmake install -d -s
      cd ..
    6. Perl'in eski sürümünü kaldırıp yerine perl 5.10.1 sürümünü yükleyin.

      rm /usr/bin/perl
      mv /opt/csw/bin/perl5.10.1 /usr/bin/
      mv /usr/bin/perl5.10.1 /usr/bin/perl
      rm -rf perl-5.10.1*
  2. Wazuh'un son sürümünü indirin.

    /opt/csw/bin/git clone -b v4.9.2 https://github.com/wazuh/wazuh.git
  3. Kaynakları derleyin.

    • Solaris 10 i386 için:

      export PATH=/usr/local/gcc-5.5.0/bin:/usr/sbin:/usr/bin:/usr/ccs/bin:/opt/csw/bin:/opt/csw/gnu
      export CPLUS_INCLUDE_PATH=/usr/local/gcc-5.5.0/include/c++/5.5.0
      export LD_LIBRARY_PATH=/usr/local/gcc-5.5.0/lib
      cd wazuh/src
      gmake clean
      gmake deps TARGET=agent
      gmake -j 4 TARGET=agent PREFIX=/var/ossec USE_SELINUX=no
      cd ..
    • Solaris 10 SPARC için:

      export PATH=/usr/local/gcc-5.5.0/bin:/usr/sbin:/usr/bin:/usr/ccs/bin:/opt/csw/bin:/opt/csw/gnu
      export CPLUS_INCLUDE_PATH=/usr/local/gcc-5.5.0/include/c++/5.5.0
      export LD_LIBRARY_PATH=/usr/local/gcc-5.5.0/lib
      cd wazuh/src
      gmake clean
      gmake deps TARGET=agent
      gmake -j 4 TARGET=agent PREFIX=/var/ossec USE_SELINUX=no
      cd ..
  4. Shebang'i değiştirmek için solaris 10 sh dosyalarını yamalayın.

    for file in $(find . -name "*.sh");do
    sed 's:#!/bin/sh:#!/usr/xpg4/bin/sh:g' $file > $file.new
    mv $file.new $file && chmod +x $file
    done
  5. Betiği çalıştırın install.sh. Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır:

    bash install.sh

    Daha önce başka bir platform için derleme yaptıysanız, src'deki Makefile'ı kullanarak derlemeyi temizlemelisiniz:

    gmake -C src clean
    gmake -C src clean-deps

    Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın ./install.shve dili seçin, kurulum modunu olarak ayarlayın agent, ardından kurulum yolunu (Choose where to install Wazuh [/var/ossec]) ayarlayın. Varsayılan kurulum yolu /var/ossec'dir . Yaygın olarak kullanılan özel bir yol /opt olabilir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmeyi veya içine Wazuh'u yüklemeyi isteyecektir. Ayrıca gözetimsiz bir kurulum da çalıştırabilirsiniz .


  6. Komut dosyası ne tür bir kurulum istediğinizi soracaktır. agentWazuh aracısını kurmak için şunu yazın:

    Output
    1- What kind of installation do you want (manager, agent, local, hybrid, or help)? agent

Sonraki adımlar

Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen Wazuh aracı kayıt bölümünü kontrol edin.

Kaldır

Wazuh aracısını kaldırmak için WAZUH_HOME geçerli kurulum yolunu ayarlayın:

WAZUH_HOME="/WAZUH/INSTALLATION/PATH"

Hizmeti durdurun:

service wazuh-agent stop 2> /dev/null

Daemon'u durdurun:

$WAZUH_HOME/bin/wazuh-control stop 2> /dev/null

Kurulum klasörünü ve tüm içeriğini kaldırın:

rm -rf $WAZUH_HOME

Hizmeti silin:

find /etc/{init.d,rc*.d} -name "*wazuh*" | xargs rm -f

Wazuh kullanıcı ve grubunu kaldır:

userdel wazuh 2> /dev/null
groupdel wazuh 2> /dev/null

Solaris 11

Not:  Aşağıda açıklanan tüm komutların root kullanıcı ayrıcalıklarıyla yürütülmesi gerekir. Wazuh 3.5'ten beri, bu işlemi takip ederken bir İnternet bağlantısına sahip olmak gerekir.

Geliştirme araçlarını ve derleyicileri kurun.

    1. Pkgutil'i kurun ve güncelleyin.

      pkgadd -d http://get.opencsw.org/now
      export PATH="${PATH}:/usr/sfw/bin:/opt/csw/bin:/opt/ccs/bin"
      pkgutil -y -U
    2. Python 2.7'yi kurun.

      /opt/csw/bin/pkgutil -y -i python27
      ln -sf /opt/csw/bin/python2.7 /usr/bin/python
    3. Aşağıdaki araçları yükleyin:

      /opt/csw/bin/pkgutil -y -i git gmake cmake gcc5core gcc5g++

       

    4. Bir sonraki adımda ihtiyaç duyulacak tüm dosyaları içerecek şekilde bir gcc sürümü yükleyin:

      # pkg install gcc-45

       

    5. gcc/g++ 5.5 derleyicisini indirin ve derleyin:

      curl -O https://packages.wazuh.com/utils/gcc/gcc-5.5.0.tar.gz && gtar xzf gcc-5.5.0.tar.gz
      ln -sf gcc-5.5.0 gcc
      cd gcc && ./contrib/download_prerequisites
      cd .. && mkdir -p gcc-build && cd gcc-build
      ../gcc/configure --prefix=/usr/local/gcc-5.5.0 --enable-languages=c,c++ --disable-multilib --disable-libsanitizer --disable-bootstrap --with-ld=/usr/ccs/bin/ld --without-gnu-ld --with-gnu-as --with-as=/opt/csw/bin/gas
      gmake
      gmake install
      export PATH=/usr/local/gcc-5.5.0/bin/:/usr/local/bin/:/usr/bin/:/usr/sbin/:$PATH
      export CPLUS_INCLUDE_PATH=/usr/local/gcc-5.5.0/include/c++/5.5.0/
      export LD_LIBRARY_PATH=/usr/local/gcc-5.5.0/lib/
      cd ..

      Not:  Adımın gmake tamamlanması birkaç dakika sürecektir. Bu normal bir davranıştır.

       
    6. cmake kütüphanesini kurun:

      curl -sL http://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz | gtar xz
      cd cmake-3.18.3
      ./bootstrap
      gmake && gmake install
      cd .. && rm -rf cmake-3.18.3
      ln -sf /usr/local/bin/cmake /usr/bin/cmake


  1. En son sürümü indirin.

    git clone -b v4.9.2 https://github.com/wazuh/wazuh.git

    Not:  Eğer Open SSL hatası nedeniyle dosyayı indiremiyorsanız, scp yardımcı programını kullanarak dizini kopyalamanız gerekir.


  2. Betiği çalıştırın install.sh. Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır:

    cd wazuh*
    ./install.sh

  3. Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizlemelisiniz src:

    gmake -C src clean
    gmake -C src clean-deps


Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın ./install.shve dili seçin, kurulum modunu olarak ayarlayın agent, ardından kurulum yolunu (Choose where to install Wazuh [/var/ossec]) ayarlayın. Varsayılan kurulum yolu /var/ossec'dir . Yaygın olarak kullanılan özel bir yol /opt olabilir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmeyi veya içine Wazuh'u yüklemeyi isteyecektir. Ayrıca gözetimsiz bir kurulum da çalıştırabilirsiniz .

  1. Komut dosyası ne tür bir kurulum istediğinizi soracaktır. Wazuh aracısını kurmak için şunu agent yazın:


    Output
    1- What kind of installation do you want (manager, agent, local, hybrid, or help)? agent

Sonraki adımlar

Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen Wazuh aracı kayıt bölümünü kontrol edin.

Kaldır


Wazuh aracısını kaldırmak için WAZUH_HOME geçerli kurulum yolunu ayarlayın:


WAZUH_HOME="/WAZUH/INSTALLATION/PATH"

Hizmeti durdurun:


service wazuh-agent stop 2> /dev/null

Daemon'u durdurun:


$WAZUH_HOME/bin/wazuh-control stop 2> /dev/null

Kurulum klasörünü ve tüm içeriğini kaldırın:


rm -rf $WAZUH_HOME

Hizmeti silin:


find /etc/{init.d,rc*.d} -name "*wazuh*" | xargs rm -f

Wazuh kullanıcı ve grubunu kaldır:


userdel wazuh 2> /dev/null
groupdel wazuh 2> /dev/null



Ansible ile Dağıtım

Ansible, görevleri otomatikleştirmek için tasarlanmış açık kaynaklı bir platformdur. Otomasyon işlerini oluşturmayı ve tanımlamayı kolaylaştıran YAML tabanlı tanımlayıcı bir dil olan Playbooks ile birlikte gelir. Ayrıca Ansible, her ana bilgisayarla SSH üzerinden iletişim kurarak çok güvenli hale getirir.

Puppet ile Dağıtım

Puppet, nerede çalıştırılırsa çalıştırılsın tüm yazılımlarınızı otomatik olarak denetlemenizi, teslim etmenizi, çalıştırmanızı ve geleceğe hazırlamanızı sağlayan açık kaynaklı bir yazılım aracıdır. Birçok Unix benzeri sistemde ve Microsoft Windows'ta çalışır ve sistem yapılandırmasını tanımlamak için kendi beyan dilini içerir. Kullanımı çok basittir ve Wazuh'u kolayca kurmanıza ve yapılandırmanıza olanak tanır.

Puppet ile Dağıtım

Puppet Master'ı Kurma

Bu bölüm puppet-master'ın nasıl kurulacağını açıklar . Resmi kurulum kılavuzunu kontrol etmek için bu bağlantıyı takip edin .

DNS yapılandırmanız yoksa, ad çözümlemesi için hosts dosyanızı kullanmalısınız. Dosyayı düzenleyin /etc/hostsve aşağıdakileri ekleyin:

[puppet master ip] puppet puppet-master
[puppet agent ip] puppet-agent

CentOS/RHEL/Fedora'ya Kurulum

Puppet yum deposunu ve ardından “puppetserver” paketini yükleyin. Linux dağıtımınız için puppet deposunu yüklemek için gereken doğru rpm dosyasını bulmak için bu dizine bakın. Örneğin, CentOS 8 veya RHEL 8 için Puppet 7'yi yüklemek için aşağıdakileri yapın:

sudo rpm -Uvh https://yum.puppet.com/puppet7-release-el-8.noarch.rpm
yum -y install puppetserver

Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun:

ln -s /opt/puppetlabs/bin/puppet /bin
ln -s /opt/puppetlabs/server/bin/puppetserver /bin

Debian/Ubuntu'ya Kurulum

Manifest, wazuh'u kurmak için aşağıdaki sürümleri destekler.

Kurun curlve :apt-transport-httpslsb-release

apt-get update
apt-get install curl apt-transport-https lsb-release wget

Uygun Puppet apt deposunu ve ardından “puppetserver” paketini yükleyin. Linux dağıtımınız için Puppet 7 deposunu yüklemek üzere doğru deb dosyasını bulmak için https://apt.puppetlabs.com adresine bakın.

wget https://apt.puppet.com/puppet7-release-focal.deb
dpkg -i puppet7-release-focal.deb
apt-get update
apt-get install -y puppetserver

Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun:

ln -s /opt/puppetlabs/bin/puppet /bin
ln -s /opt/puppetlabs/server/bin/puppetserver /bin

Bellek Tahsisi

Varsayılan olarak, Puppet Server 2 GB RAM kullanacak şekilde yapılandırılacaktır. Ancak, bir VM'de Puppet Server ile denemeler yapmak istiyorsanız, güvenli bir şekilde 512 MB kadar az bellek tahsis edebilirsiniz. Puppet Server bellek tahsisini değiştirmek için, aşağıdaki init yapılandırma dosyasını düzenleyebilirsiniz.

  • /etc/sysconfig/puppetserver-- CentOS/RHEL/Fedora

  • /etc/default/puppetserver-- Debian/Ubuntu

Değişkendeki 2g'yi JAVA_ARGSPuppet Server'a tahsis etmek istediğiniz bellek miktarıyla değiştirin. Örneğin, 1 GB bellek tahsis etmek için ; kullanın . 512 MB için .JAVA_ARGS="-Xms1g -Xmx1g"JAVA_ARGS="-Xms512m -Xmx512m"

Yapılandırma

/etc/puppetlabs/puppet/puppet.confPuppet sunucusunu yapılandırmak için dosyayı düzenleyin . [main]Bölüme aşağıdaki ayarları ekleyin. Bölüm yoksa, bölümü oluşturmanız gerekir. Kendi DNS'inizi kurduysanız puppetve yerine puppet-masterTam Nitelikli Alan Adlarınızı (FQDN'ler) koyun.

[main]
server = puppet-master
dns_alt_names = puppet, puppet-master

Not:  Yapılandırma dosyasında bulursanız templatedir=$confdir/templates, o satırı silin. Kullanım dışı bırakıldı.


Ubuntu/Debian makineleri için, puppetserver başlamazsa. puppetserver dosyasını düzenleyin, /etc/default/puppetserver. Bellek boyutunu 1G veya 512MB olarak değiştirmek için aşağıdaki satırı değiştirin:

JAVA_ARGS="-Xms512m -Xmx512m -Djruby.logger.class=com.puppetlabs.jruby_utils.jruby.Slf4jLogger"

Daha sonra Puppet Server'ınızı başlatın:

Systemd

systemctl start puppetserver
systemctl enable puppetserver
systemctl status puppetserver


SysV Başlatma 

service puppetserver start
update-rc.d puppetserver



Puppet ile Dağıtım

Puppet Agent Yükleme

Bu bölümde puppet-agent'ın nasıl kurulacağı anlatılmaktadır . Resmi kurulum kılavuzunu kontrol etmek için bu bağlantıyı takip edin .

Puppet Server'ınızda yaptığınız gibi, Puppet deposunu da aracı sisteminize aptyüklediğinizi varsayıyoruz .yum

DNS yapılandırmanız yoksa, ad çözümlemesi için hosts dosyanızı kullanmalısınız.

Dosyayı düzenleyin /etc/hostsve Puppet ana makinesinin ve aracısının IP adresini ve ana bilgisayar adını ekleyin:Bu başlığa kalıcı bağlantı

[puppet master ip] puppet puppet-master
[puppet agent ip] puppet-agent

CentOS/RHEL/Fedora'ya Kurulum

Puppet yum deposunu ve ardından "puppet-agent" paketini yükleyin. Linux dağıtımınız için puppet deposunu yüklemek için gereken doğru rpm dosyasını bulmak için bu dizine bakın. Örneğin, CentOS 7 veya RHEL 7 için Puppet 7'yi yüklemek için aşağıdakileri yapın:

sudo rpm -Uvh https://yum.puppet.com/puppet7-release-el-8.noarch.rpm
yum -y install puppet-agent

Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun:

ln -s /opt/puppetlabs/bin/puppet /bin

Debian/Ubuntu'ya Kurulum

Manifest, wazuh'u kurmak için aşağıdaki sürümleri destekler.

Kurun curlve :apt-transport-httpslsb-release

apt-get update
apt-get install curl apt-transport-https lsb-release wget

Uygun Puppet apt deposunu ve ardından “puppet-agent” paketini yükleyin. Linux dağıtımınız için puppet deposunu yüklemek üzere doğru deb dosyasını bulmak için https://apt.puppetlabs.com adresine bakın.

wget https://apt.puppet.com/puppet7-release-focal.deb
dpkg -i puppet7-release-focal.deb
apt-get update
apt-get install -y puppet-agent

Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun:

ln -s /opt/puppetlabs/bin/puppet /bin

Windows'a Kurulum

  1. Windows puppet-agent paketini indirin.

    Bu paket Puppet'ın tüm ön koşullarını bir araya getiriyor.

    Not:  Bu, Puppet 7.16 sürüm aracısı için pakettir. Başka bir pakete ihtiyaç duyulursa, tüm paketlerin indirilebildiği resmi dizine gidin.

     
  2. Puppet'ı kurun.

    1. Windows GUI'yi kullanma:

    • GUI'yi yükseltilmiş ayrıcalıklarla çalıştırın.

    • Kurulum sırasında Puppet sizden Puppet ana sunucunuzun ana bilgisayar adını ister.

    • Ana bilgisayara bağlanmayacak bağımsız Puppet düğümleri için varsayılan ana bilgisayar adını ( puppet ) kullanın. Ayrıca komut satırına yüklemek ve aracı başlatma modunu Devre Dışı olarak ayarlamak isteyebilirsiniz .

    • Kurulum tamamlandıktan sonra Puppet kurulmuş ve çalışır hale gelecektir.

    1. Komut satırını kullanarak:

      msiexec /qn /norestart /i puppet-agent-<VERSION>-x64.msi

    İsteğe bağlı olarak, kurulumun ilerlemesini bir dosyaya kaydetmeyi belirtebilirsiniz . Ayrıca, Puppet'ı kurarken önceden yapılandırmak için çeşitli MSI özelliklerini ayarlayabilirsiniz./l*v install.txt

Aracı Yapılandırması

Puppet aracısını yapılandırmak için düğümdeki yapılandırma dosyasını düzenleyin.

  • /etc/puppetlabs/puppet/puppet.confLinux sistemleri için

  • C:\ProgramData\PuppetLabs\puppet\etc\puppet.confWindows sistemleri için

serverAyarı dosyanın bölümüne ekleyin [main]. Kendi DNS'inizi ayarladıysanız, puppet-masterPuppet sunucunuzun Tam Nitelikli Alan Adı (FQDN) ile değiştirin.

[main]
server = puppet-master

Not:  Puppet sunucusunun FQDN'si Puppet aracı ana bilgisayarı tarafından çözülmelidir.

Puppet hizmetini yeniden başlatın ve durumunu kontrol edin:

puppet resource service puppet ensure=running enable=true
sudo systemctl status puppet
Puppet ile Dağıtım

Puppet Sertifikalarının Kurulumu

Bir sertifika oluşturmak ve imzalamak için aşağıdaki adımları izleyin:

  1. Puppet aracısında, boş bir sertifika oluşturmak için şu komutu çalıştırın:

    puppet agent -t
  2. Puppet sunucu tarafında, onaylanması gereken mevcut sertifikaları listeleyin:

    puppetserver ca list

    Düğüm ana bilgisayar adınızı içeren bir liste çıktısı vermelidir.

  3. Sertifikayı onaylayın ve bunu pending-agent-nodearacınızın düğüm adıyla değiştirin:

    puppetserver ca sign --certname pending-agent-node

    Tüm sertifikalar bununla onaylanabilir:

    puppetserver ca sign --all
  4. Puppet aracı düğümüne geri dönün ve puppet aracısını tekrar çalıştırın:

    puppet agent -t

Not:  Başarılı bir sertifika imzalama için özel ağ DNS'inin ön koşul olduğunu unutmayın.

Puppet ile Dağıtım

Wazuh Modülünü Kurun

Bu modül Nicolas Zin tarafından yazılmış ve Jonathan Gazeley ve Michael Porter tarafından güncellenmiştir. Wazuh, onu sürdürme amacıyla çatallamıştır. Katkılarından dolayı yazarlara teşekkür ederiz.

Wazuh Modülünü Kurun

Puppet Forge'dan Wazuh modülünü indirin ve kurun:

puppet module install wazuh-wazuh --version 4.9.2

Output
Notice: Preparing to install into /etc/puppetlabs/code/environments/production/modules ...
Notice: Downloading from https://forgeapi.puppet.com ...
Notice: Installing -- do not interrupt ...
/etc/puppetlabs/code/environments/production/modules
└─┬ wazuh-wazuh (v4.9.2)
  ├── puppet-nodejs (v7.0.1)
  ├── puppet-selinux (v3.4.1)
  ├── puppetlabs-apt (v7.7.1)
  ├─┬ puppetlabs-concat (v6.4.0)
  │ └── puppetlabs-translate (v2.2.0)
  ├── puppetlabs-firewall (v2.8.1)
  ├─┬ puppetlabs-powershell (v4.1.0)
  │ └── puppetlabs-pwshlib (v0.10.1)
  └── puppetlabs-stdlib (v6.6.0)

Bu modül Wazuh aracısını ve yöneticisini kurar ve yapılandırır.

Puppet Aracılığıyla Bir Yığın Kurun

Tek Düğüm

Tek düğümlü bir yığını dağıtmak için aşağıda gösterilen bildirimi kullanabilirsiniz. Bu yığın şunlardan oluşur:

  • Wazuh gösterge paneli

  • Wazuh dizinleyici

  • Wazuh yöneticisi

  • Dosyabeat

Aşağıdaki içerikle stack.ppdosyayı oluşturun :/etc/puppetlabs/code/environments/production/manifests/

  • puppet-aio-node: Puppet aracısının ana bilgisayar adı veya IP adresi.

  • puppet-server: Wazuh modülü kurulduğunda Puppet sunucusunun ana bilgisayar adı veya IP adresi.

$discovery_type = 'single-node'
stage { 'certificates': }
stage { 'repo': }
stage { 'indexerdeploy': }
stage { 'securityadmin': }
stage { 'dashboard': }
stage { 'manager': }
Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]
Exec {
timeout => 0,
}
node "puppet-server" {
class { 'wazuh::certificates':
  indexer_certs => [['node-1','127.0.0.1']],
  manager_certs => [['master','127.0.0.1']],
  dashboard_certs => ['127.0.0.1'],
  stage => certificates,
}
}
node "puppet-aio-node" {
class { 'wazuh::repo':
stage => repo,
}
class { 'wazuh::indexer':
  stage => indexerdeploy,
}
class { 'wazuh::securityadmin':
stage => securityadmin
}
class { 'wazuh::manager':
  stage => manager,
}
class { 'wazuh::filebeat_oss':
  stage => manager,
}
class { 'wazuh::dashboard':
  stage => dashboard,
}
}

Çoklu Düğüm

Aşağıdaki çoklu düğüm bildirimini kullanarak, aşağıdaki düğümlerden oluşan dağıtılmış bir yığını üç farklı sunucuya veya Sanal Makineye (VM) dağıtabilirsiniz.

  • 3 dizinleyici düğümü

  • Yönetici ana düğümü

  • Yönetici işçi düğümü

  • Pano düğümü

Her uygulamayı yüklediğiniz sunucuların IP adreslerini mutlaka eklemelisiniz.

$node1host   = '<WAZUH_INDEXER_NODE1_IP_ADDRESS>'
$node2host   = '<WAZUH_INDEXER_NODE2_IP_ADDRESS>'
$node3host   = '<WAZUH_INDEXER_NODE3_IP_ADDRESS>'
$masterhost    = '<WAZUH_MANAGER_MASTER_IP_ADDRESS>'
$workerhost    = '<WAZUH_MANAGER_WORKER_IP_ADDRESS>'
$dashboardhost = '<WAZUH_DASHBOARD_IP_ADDRESS>'
$indexer_node1_name = 'node1'
$indexer_node2_name = 'node2'
$indexer_node3_name = 'node3'
$master_name = 'master'
$worker_name = 'worker'
$cluster_size = '3'
$indexer_discovery_hosts = [$node1host, $node2host, $node3host]
$indexer_cluster_initial_master_nodes = [$node1host, $node2host, $node3host]
$indexer_cluster_CN = [$indexer_node1_name, $indexer_node2_name, $indexer_node3_name]
# Define stage for order execution
stage { 'certificates': }
stage { 'repo': }
stage { 'indexerdeploy': }
stage { 'securityadmin': }
stage { 'dashboard': }
stage { 'manager': }
Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]
Exec {
timeout => 0,
}
node "puppet-server" {
class { 'wazuh::certificates':
  indexer_certs => [["$indexer_node1_name","$node1host" ],["$indexer_node2_name","$node2host" ],["$indexer_node3_name","$node3host" ]],
  manager_master_certs => [["$master_name","$masterhost"]],
  manager_worker_certs => [["$worker_name","$workerhost"]],
  dashboard_certs => ["$dashboardhost"],
  stage => certificates
}
class { 'wazuh::repo':
stage => repo
}
}
node "puppet-wazuh-indexer-node1" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node1_name",
  indexer_network_host => "$node1host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
class { 'wazuh::securityadmin':
indexer_network_host => "$node1host",
stage => securityadmin
}
}
node "puppet-wazuh-indexer-node2" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node2_name",
  indexer_network_host => "$node2host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
}
node "puppet-wazuh-indexer-node3" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node3_name",
  indexer_network_host => "$node3host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
}
node "puppet-wazuh-manager-master" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::manager':
  ossec_cluster_name => 'wazuh-cluster',
  ossec_cluster_node_name => 'wazuh-master',
  ossec_cluster_node_type => 'master',
  ossec_cluster_key => '01234567890123456789012345678912',
  ossec_cluster_bind_addr => "$masterhost",
  ossec_cluster_nodes => ["$masterhost"],
  ossec_cluster_disabled => 'no',
  stage => manager
}
class { 'wazuh::filebeat_oss':
  filebeat_oss_indexer_ip => "$node1host",
  wazuh_node_name => "$master_name",
  stage => manager
}
}
node "puppet-wazuh-manager-worker" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::manager':
  ossec_cluster_name => 'wazuh-cluster',
  ossec_cluster_node_name => 'wazuh-worker',
  ossec_cluster_node_type => 'worker',
  ossec_cluster_key => '01234567890123456789012345678912',
  ossec_cluster_bind_addr => "$masterhost",
  ossec_cluster_nodes => ["$masterhost"],
  ossec_cluster_disabled => 'no',
  stage => manager
}
class { 'wazuh::filebeat_oss':
  filebeat_oss_indexer_ip => "$node1host",
  wazuh_node_name => "$worker_name",
  stage => manager
}
}
node "puppet-wazuh-dashboard" {
class { 'wazuh::repo':
stage => repo,
}
class { 'wazuh::dashboard':
  indexer_server_ip  => "$node1host",
  manager_api_host   => "$masterhost",
  stage => dashboard
}
}

Manifest'te açıklanan kukla düğümlerinin IP adresleriyle olan ilişkisi şu şekildedir:

  • puppet-wazuh-indexer-node1node1host. Wazuh indeksleyici node1.

  • puppet-wazuh-indexer-node2node2host. Wazuh indeksleyici node2.

  • puppet-wazuh-indexer-node3node3host. Wazuh indeksleyici node3.

  • puppet-wazuh-manager-mastermasterhost. Wazuh yönetici ustası.

  • puppet-wazuh-manager-workerworkerhost. Wazuh yönetici işçi.

  • puppet-wazuh-dashboarddashboardhost. Wazuh panosu düğümü.

Sınıfın , Wazuh modülünün kurulu olduğu wazuh::certificatesPuppet sunucusunda ( puppet-server) uygulanması gerekir. Bu, arşiv modülünün Wazuh yığın dağıtımındaki tüm sunuculara dosyaları dağıtmak için kullanılması nedeniyle gereklidir.

Daha fazla Wazuh dizinleyici düğümüne ihtiyacınız varsa, yeni değişkenler ekleyin. Örneğin indexer_node4_nameve node4host. Bunları aşağıdaki dizilere ekleyin:

  • indexer_discovery_hosts

  • indexer_cluster_initial_master_nodes

  • indexer_cluster_CN

  • indexer_certs

puppet-wazuh-indexer-node2Ek olarak, veya benzeri yeni bir düğüm örneği eklemeniz gerekir puppet-wazuh-indexer-node3. Wazuh dizinleyici node1 örneğinin aksine, bu örnekler . çalıştırmaz securityadmin.

Bir Wazuh yönetici çalışan sunucusu eklemeniz gerekirse, . gibi yeni bir değişken ekleyin worker2host. Değişkeni diziye ekleyin manager_worker_certs. Örneğin, ['worker',"$worker2host"]. Ardından, düğüm örneğini puppet-wazuh-manager-workeryeni sunucuyla çoğaltın.

Dosyayı /etc/puppetlabs/code/environments/production/manifests/Puppet master'ınıza yerleştirin. Belirtilen düğümde runinterval, ayarlandığı gibi, zaman puppet.confgeçtikten sonra yürütülür. Ancak, bildirimi belirli bir düğümde hemen çalıştırmak istiyorsanız, düğümde aşağıdaki komutu çalıştırın:


puppet agent -t

Wazuh Kullanıcıları İçin Şifreyi Değiştir

Wazuh kullanıcı parolalarınızı değiştirmek için Parola Yönetimi bölümündeki talimatları izleyin . Parolaları değiştirdikten sonra, Wazuh Stack'i dağıtmak için kullanılan sınıflar içinde yeni parolaları ayarlayın.

Dizinleyici Kullanıcıları

  • adminkullanıcı:

    node "puppet-agent.com" {
      class { 'wazuh::dashboard':
        dashboard_password => '<NEW_PASSWORD>'
      }
    }
    
  • kibanaserverkullanıcı:

    node "puppet-agent.com" {
      class { 'wazuh::filebeat_oss':
        filebeat_oss_elastic_password  => '<NEW_PASSWORD>'
      }
    }
    

Wazuh API Kullanıcıları

  • wazuh-wuikullanıcı:

    node "puppet-agent.com" {
      class { 'wazuh::dashboard':
        dashboard_wazuh_api_credentials => '<NEW_PASSWORD>'
      }
    }
    

Puppet Aracılığıyla Wazuh Agent Yükleyin

Sınıfın kurulmasıyla ajan yapılandırılır wazuh::agent.

İşte bir manifesto örneği wazuh-agent.pp(lütfen <MANAGER_IP_ADDRESS>yöneticinizin IP adresiyle değiştirin).

node "puppet-agent.com" {
  class { 'wazuh::repo':
  }
  class { "wazuh::agent":
    wazuh_register_endpoint => "<MANAGER_IP_ADDRESS>",
    wazuh_reporting_endpoint => "<MANAGER_IP_ADDRESS>"
  }
}

Dosyayı Puppet ana makinenize yerleştirin ve belirtilen düğümde ayarlanan zamandan /etc/puppetlabs/code/environments/production/manifests/sonra yürütülecektir . Ancak, önce çalıştırmak istiyorsanız, Puppet aracısında aşağıdaki komutu deneyin.runintervalpuppet.conf

puppet agent -t

Referans Wazuh Kuklası

Bölümler

Değişkenler

Fonksiyonlar

Wazuh yönetici sınıfı

Uyarılar

Yetkili

Küme

Küresel

Yerel dosya

Kök kontrolü

Sistem kontrolü

Syslog çıktısı

Güvenlik Açığı Tespiti

Wazuh API

Wodle sorgusu

Wodle Sistem Toplayıcısı

Çeşitli

e-posta_uyarısı

emretmek

aktifcevap

Wazuh ajan sınıfı

Aktif Tepki

Acente kaydı

İstemci ayarları

Yerel dosya

Kök kontrolü

SCA

Sistem kontrolü

Wodle sorgusu

Wodle Sistem Toplayıcısı

Çeşitli

Puppet ile Dağıtım

Puppet Aracılığıyla Bir Yığın Kurun

Bu modül Nicolas Zin tarafından yazılmış ve Jonathan Gazeley ve Michael Porter tarafından güncellenmiştir. Wazuh, onu sürdürme amacıyla çatallamıştır. Katkılarından dolayı yazarlara teşekkür ederiz.

Wazuh Modülünü Kurun

Puppet Forge'dan Wazuh modülünü indirin ve kurun:

puppet module install wazuh-wazuh --version 4.9.2
Output
Notice: Preparing to install into /etc/puppetlabs/code/environments/production/modules ...
Notice: Downloading from https://forgeapi.puppet.com ...
Notice: Installing -- do not interrupt ...
/etc/puppetlabs/code/environments/production/modules
└─┬ wazuh-wazuh (v4.9.2)
  ├── puppet-nodejs (v7.0.1)
  ├── puppet-selinux (v3.4.1)
  ├── puppetlabs-apt (v7.7.1)
  ├─┬ puppetlabs-concat (v6.4.0)
  │ └── puppetlabs-translate (v2.2.0)
  ├── puppetlabs-firewall (v2.8.1)
  ├─┬ puppetlabs-powershell (v4.1.0)
  │ └── puppetlabs-pwshlib (v0.10.1)
  └── puppetlabs-stdlib (v6.6.0)

Bu modül Wazuh aracısını ve yöneticisini kurar ve yapılandırır.

Puppet Aracılığıyla Bir Yığın Kurun

Tek Düğüm

Tek düğümlü bir yığını dağıtmak için aşağıda gösterilen bildirimi kullanabilirsiniz. Bu yığın şunlardan oluşur:

  • Wazuh gösterge paneli

  • Wazuh dizinleyici

  • Wazuh yöneticisi

  • Dosyabeat

Aşağıdaki içerikle stack.ppdosyayı oluşturun :/etc/puppetlabs/code/environments/production/manifests/

  • puppet-aio-node: Puppet aracısının ana bilgisayar adı veya IP adresi.

  • puppet-server: Wazuh modülü kurulduğunda Puppet sunucusunun ana bilgisayar adı veya IP adresi.

$discovery_type = 'single-node'
stage { 'certificates': }
stage { 'repo': }
stage { 'indexerdeploy': }
stage { 'securityadmin': }
stage { 'dashboard': }
stage { 'manager': }
Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]
Exec {
timeout => 0,
}
node "puppet-server" {
class { 'wazuh::certificates':
  indexer_certs => [['node-1','127.0.0.1']],
  manager_certs => [['master','127.0.0.1']],
  dashboard_certs => ['127.0.0.1'],
  stage => certificates,
}
}
node "puppet-aio-node" {
class { 'wazuh::repo':
stage => repo,
}
class { 'wazuh::indexer':
  stage => indexerdeploy,
}
class { 'wazuh::securityadmin':
stage => securityadmin
}
class { 'wazuh::manager':
  stage => manager,
}
class { 'wazuh::filebeat_oss':
  stage => manager,
}
class { 'wazuh::dashboard':
  stage => dashboard,
}
}

Çoklu Düğüm

Aşağıdaki çoklu düğüm bildirimini kullanarak, aşağıdaki düğümlerden oluşan dağıtılmış bir yığını üç farklı sunucuya veya Sanal Makineye (VM) dağıtabilirsiniz.

  • 3 dizinleyici düğümü

  • Yönetici ana düğümü

  • Yönetici işçi düğümü

  • Pano düğümü

Her uygulamayı yüklediğiniz sunucuların IP adreslerini mutlaka eklemelisiniz.

$node1host   = '<WAZUH_INDEXER_NODE1_IP_ADDRESS>'
$node2host   = '<WAZUH_INDEXER_NODE2_IP_ADDRESS>'
$node3host   = '<WAZUH_INDEXER_NODE3_IP_ADDRESS>'
$masterhost    = '<WAZUH_MANAGER_MASTER_IP_ADDRESS>'
$workerhost    = '<WAZUH_MANAGER_WORKER_IP_ADDRESS>'
$dashboardhost = '<WAZUH_DASHBOARD_IP_ADDRESS>'
$indexer_node1_name = 'node1'
$indexer_node2_name = 'node2'
$indexer_node3_name = 'node3'
$master_name = 'master'
$worker_name = 'worker'
$cluster_size = '3'
$indexer_discovery_hosts = [$node1host, $node2host, $node3host]
$indexer_cluster_initial_master_nodes = [$node1host, $node2host, $node3host]
$indexer_cluster_CN = [$indexer_node1_name, $indexer_node2_name, $indexer_node3_name]
Define stage for order execution
stage { 'certificates': }
stage { 'repo': }
stage { 'indexerdeploy': }
stage { 'securityadmin': }
stage { 'dashboard': }
stage { 'manager': }
Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]
Exec {
timeout => 0,
}
node "puppet-server" {
class { 'wazuh::certificates':
  indexer_certs => [["$indexer_node1_name","$node1host" ],["$indexer_node2_name","$node2host" ],["$indexer_node3_name","$node3host" ]],
  manager_master_certs => [["$master_name","$masterhost"]],
  manager_worker_certs => [["$worker_name","$workerhost"]],
  dashboard_certs => ["$dashboardhost"],
  stage => certificates
}
class { 'wazuh::repo':
stage => repo
}
}
node "puppet-wazuh-indexer-node1" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node1_name",
  indexer_network_host => "$node1host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
class { 'wazuh::securityadmin':
indexer_network_host => "$node1host",
stage => securityadmin
}
}
node "puppet-wazuh-indexer-node2" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node2_name",
  indexer_network_host => "$node2host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
}
node "puppet-wazuh-indexer-node3" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node3_name",
  indexer_network_host => "$node3host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
}
node "puppet-wazuh-manager-master" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::manager':
  ossec_cluster_name => 'wazuh-cluster',
  ossec_cluster_node_name => 'wazuh-master',
  ossec_cluster_node_type => 'master',
  ossec_cluster_key => '01234567890123456789012345678912',
  ossec_cluster_bind_addr => "$masterhost",
  ossec_cluster_nodes => ["$masterhost"],
  ossec_cluster_disabled => 'no',
  stage => manager
}
class { 'wazuh::filebeat_oss':
  filebeat_oss_indexer_ip => "$node1host",
  wazuh_node_name => "$master_name",
  stage => manager
}
}
node "puppet-wazuh-manager-worker" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::manager':
  ossec_cluster_name => 'wazuh-cluster',
  ossec_cluster_node_name => 'wazuh-worker',
  ossec_cluster_node_type => 'worker',
  ossec_cluster_key => '01234567890123456789012345678912',
  ossec_cluster_bind_addr => "$masterhost",
  ossec_cluster_nodes => ["$masterhost"],
  ossec_cluster_disabled => 'no',
  stage => manager
}
class { 'wazuh::filebeat_oss':
  filebeat_oss_indexer_ip => "$node1host",
  wazuh_node_name => "$worker_name",
  stage => manager
}
}
node "puppet-wazuh-dashboard" {
class { 'wazuh::repo':
stage => repo,
}
class { 'wazuh::dashboard':
  indexer_server_ip  => "$node1host",
  manager_api_host   => "$masterhost",
  stage => dashboard
}
}

Manifest'te açıklanan kukla düğümlerinin IP adresleriyle olan ilişkisi şu şekildedir:

  • puppet-wazuh-indexer-node1node1host. Wazuh indeksleyici node1.

  • puppet-wazuh-indexer-node2node2host. Wazuh indeksleyici node2.

  • puppet-wazuh-indexer-node3node3host. Wazuh indeksleyici node3.

  • puppet-wazuh-manager-mastermasterhost. Wazuh yönetici ustası.

  • puppet-wazuh-manager-workerworkerhost. Wazuh yönetici işçi.

  • puppet-wazuh-dashboarddashboardhost. Wazuh panosu düğümü.

Sınıfın , Wazuh modülünün kurulu olduğu wazuh::certificatesPuppet sunucusunda ( puppet-server) uygulanması gerekir. Bu, arşiv modülünün Wazuh yığın dağıtımındaki tüm sunuculara dosyaları dağıtmak için kullanılması nedeniyle gereklidir.

Daha fazla Wazuh dizinleyici düğümüne ihtiyacınız varsa, yeni değişkenler ekleyin. Örneğin indexer_node4_nameve node4host. Bunları aşağıdaki dizilere ekleyin:

  • indexer_discovery_hosts

  • indexer_cluster_initial_master_nodes

  • indexer_cluster_CN

  • indexer_certs

puppet-wazuh-indexer-node2Ek olarak, veya benzeri yeni bir düğüm örneği eklemeniz gerekir puppet-wazuh-indexer-node3. Wazuh dizinleyici node1 örneğinin aksine, bu örnekler . çalıştırmaz securityadmin.

Bir Wazuh yönetici çalışan sunucusu eklemeniz gerekirse, . gibi yeni bir değişken ekleyin worker2host. Değişkeni diziye ekleyin manager_worker_certs. Örneğin, ['worker',"$worker2host"]. Ardından, düğüm örneğini puppet-wazuh-manager-workeryeni sunucuyla çoğaltın.

Dosyayı /etc/puppetlabs/code/environments/production/manifests/Puppet master'ınıza yerleştirin. Belirtilen düğümde runinterval, ayarlandığı gibi, zaman puppet.confgeçtikten sonra yürütülür. Ancak, bildirimi belirli bir düğümde hemen çalıştırmak istiyorsanız, düğümde aşağıdaki komutu çalıştırın:

puppet agent -t

Wazuh Kullanıcıları İçin Şifreyi Değiştir

Wazuh kullanıcı parolalarınızı değiştirmek için Parola Yönetimi bölümündeki talimatları izleyin . Parolaları değiştirdikten sonra, Wazuh Stack'i dağıtmak için kullanılan sınıflar içinde yeni parolaları ayarlayın.

Dizinleyici Kullanıcıları

  • adminkullanıcı:

    node "puppet-agent.com" {
      class { 'wazuh::dashboard':
        dashboard_password => '<NEW_PASSWORD>'
      }
    }
    
  • kibanaserverkullanıcı:

    node "puppet-agent.com" {
      class { 'wazuh::filebeat_oss':
        filebeat_oss_elastic_password  => '<NEW_PASSWORD>'
      }
    }
    

Wazuh API Kullanıcıları

  • wazuh-wuikullanıcı:

    node "puppet-agent.com" {
      class { 'wazuh::dashboard':
        dashboard_wazuh_api_credentials => '<NEW_PASSWORD>'
      }
    }
    

Puppet Aracılığıyla Wazuh Agent Yükleyin

Sınıfın kurulmasıyla ajan yapılandırılır wazuh::agent.

İşte bir manifesto örneği wazuh-agent.pp(lütfen <MANAGER_IP_ADDRESS>yöneticinizin IP adresiyle değiştirin).

node "puppet-agent.com" {
  class { 'wazuh::repo':
  }
  class { "wazuh::agent":
    wazuh_register_endpoint => "<MANAGER_IP_ADDRESS>",
    wazuh_reporting_endpoint => "<MANAGER_IP_ADDRESS>"
  }
}

Dosyayı Puppet ana makinenize yerleştirin ve belirtilen düğümde ayarlanan zamandan /etc/puppetlabs/code/environments/production/manifests/sonra yürütülecektir . Ancak, önce çalıştırmak istiyorsanız, Puppet aracısında aşağıdaki komutu deneyin.runintervalpuppet.conf

puppet agent -t
Puppet ile Dağıtım

Wazuh Kullanıcıları İçin Şifreyi Değiştirme

Wazuh kullanıcı parolalarınızı değiştirmek için Parola Yönetimi bölümündeki talimatları izleyin . Parolaları değiştirdikten sonra, Wazuh Stack'i dağıtmak için kullanılan sınıflar içinde yeni parolaları ayarlayın.

Dizinleyici Kullanıcıları

  • adminkullanıcı:

    node "puppet-agent.com" {
      class { 'wazuh::dashboard':
        dashboard_password => '<NEW_PASSWORD>'
      }
    }
    
  • kibanaserverkullanıcı:

    node "puppet-agent.com" {
      class { 'wazuh::filebeat_oss':
        filebeat_oss_elastic_password  => '<NEW_PASSWORD>'
      }
    }
    

Wazuh API Kullanıcıları

  • wazuh-wuikullanıcı:

    node "puppet-agent.com" {
      class { 'wazuh::dashboard':
        dashboard_wazuh_api_credentials => '<NEW_PASSWORD>'
      }
    }
    

Puppet Aracılığıyla Wazuh Agent Yükleyin

Sınıfın kurulmasıyla ajan yapılandırılır wazuh::agent.

İşte bir manifesto örneği wazuh-agent.pp(lütfen <MANAGER_IP_ADDRESS>yöneticinizin IP adresiyle değiştirin).

node "puppet-agent.com" {
  class { 'wazuh::repo':
  }
  class { "wazuh::agent":
    wazuh_register_endpoint => "<MANAGER_IP_ADDRESS>",
    wazuh_reporting_endpoint => "<MANAGER_IP_ADDRESS>"
  }
}

Dosyayı Puppet ana makinenize yerleştirin ve belirtilen düğümde ayarlanan zamandan /etc/puppetlabs/code/environments/production/manifests/sonra yürütülecektir . Ancak, önce çalıştırmak istiyorsanız, Puppet aracısında aşağıdaki komutu deneyin.runintervalpuppet.conf

puppet agent -t
Puppet ile Dağıtım

Puppet Aracılığıyla Wazuh Agent Yükleme

Sınıfın kurulmasıyla ajan yapılandırılır wazuh::agent.

İşte bir manifesto örneği wazuh-agent.pp(lütfen <MANAGER_IP_ADDRESS>yöneticinizin IP adresiyle değiştirin).

node "puppet-agent.com" {
  class { 'wazuh::repo':
  }
  class { "wazuh::agent":
    wazuh_register_endpoint => "<MANAGER_IP_ADDRESS>",
    wazuh_reporting_endpoint => "<MANAGER_IP_ADDRESS>"
  }
}

Dosyayı Puppet ana makinenize yerleştirin ve belirtilen düğümde ayarlanan zamandan /etc/puppetlabs/code/environments/production/manifests/sonra yürütülecektir . Ancak, önce çalıştırmak istiyorsanız, Puppet aracısında aşağıdaki komutu deneyin.runintervalpuppet.conf

puppet agent -t
Puppet ile Dağıtım

Wazuh Puppet Referansı