Alternatif Kurulumlar
Wazuh'u diğer dağıtım seçeneklerini kullanarak yükleyebilirsiniz. Bunlar, Kurulum kılavuzunda ve Hızlı Başlangıç'ta bulabileceğiniz kurulum yöntemlerine tamamlayıcıdır .

Sanal Makine (OVA)
Wazuh, Open Virtual Appliance (OVA) formatında önceden oluşturulmuş bir sanal makine görüntüsü sağlar. Bu, doğrudan VirtualBox'a veya diğer OVA uyumlu sanallaştırma sistemlerine aktarılabilir. Bu VM'nin yalnızca 64 bit sistemlerde çalıştığını unutmayın. Kutudan çıktığı anda yüksek kullanılabilirlik ve ölçeklenebilirlik sağlamaz. Ancak bunlar  dağıtılmış dağıtım  kullanılarak uygulanabilir . 

 Aşağıdaki bileşenleri içeren  sanal cihazı (OVA)  indirin : 

 

 

 

 Amazon Linux 2 

 

 

 Wazuh yöneticisi 4.9.2 

 

 

 Wazuh dizinleyici 4.9.2 

 

 

 Filebeat-OSS 7.10.2 

 

 

 Wazuh gösterge paneli 4.9.2 

 

 

 

 

 Paket Listesi 

 

 

 

 

 Dağıtım 

 

 

 Mimarlık 

 

 

 VM Biçimi 

 

 

 Sürüm 

 

 

 Paket 

 

 

 

 

 

 

 Amazon Linux 2 

 

 

 64 bit 

 

 

 OVA 

 

 

 4.9.2 

 

 

 wazuh-4.9.2.ova  (  sha512  ) 

 

 

 

 

 

 

 Donanım Gereksinimleri 

 Wazuh VM'nin bir ana işletim sistemine aktarılabilmesi için aşağıdaki gereksinimlerin karşılanması gerekir: 

 

 

 Ana bilgisayar işletim sisteminin 64-bit olması gerekiyor. 

 

 

 Donanım sanallaştırmanın, ana bilgisayarın donanım yazılımında etkinleştirilmesi gerekir. 

 

 

 Ana bilgisayara VirtualBox gibi bir sanallaştırma platformu kurulmalıdır. 

 

 

 Wazuh VM, kutudan çıktığı haliyle aşağıdaki özelliklerle yapılandırılmıştır: 

 

 

 

 

 Bileşen 

 

 

 CPU (çekirdekler) 

 

 

 RAM (GB) 

 

 

 Depolama (GB) 

 

 

 

 

 

 

 Wazuh v4.9.2 OVA 

 

 

 4 

 

 

 8 

 

 

 50 

 

 

 

 

 Ancak bu donanım yapılandırması, korunan uç nokta sayısına ve dizinlenmiş uyarı verilerine bağlı olarak değiştirilebilir. Gereksinimler hakkında daha fazla bilgi  burada  bulunabilir . 

 

 

 Sanal Makineyi İçe Aktarın ve Erişin 

 

 

 OVA’yı sanallaştırma platformuna aktarın. 

 

 

 VirtualBox kullanıyorsanız,  VMSVGA grafik denetleyicisini ayarlayın. Başka bir grafik denetleyicisi ayarlamak VM penceresini dondurur. 

 

 

 İçeri aktarılan VM'yi seçin. 

 

 

 Ayarlar  >  Görüntüle'ye  tıklayın 

 

 

 Grafik denetleyicide  seçeneğini seçin  VMSVGA . 

 

 

 

 

 Makineyi çalıştırın. 

 

 

 Aşağıdaki kullanıcı adı ve parolayı kullanarak sanal makineye erişin. Sanallaştırma platformunu kullanabilir veya SSH üzerinden erişebilirsiniz. 

 user: wazuh-user

password: wazuh 

 SSH  root kullanıcı girişi devre dışı bırakıldı; ancak  wazuh-user sudo ayrıcalıkları korunuyor. Kök ayrıcalık yükseltmesi aşağıdaki komutu çalıştırarak gerçekleştirilebilir: 

 sudo -i 

   

 

 

 

 Wazuh Dashboard'a Erişin 

 VM başlatıldıktan kısa bir süre sonra, Wazuh panosuna aşağıdaki kimlik bilgilerini kullanarak web arayüzünden erişilebilir: 

 URL: https://<wazuh_server_ip>

user: admin

password: admin 

 <wazuh_server_ip>  Aşağıdaki komutu VM'de yazarak bulabilirsiniz : 

 ip a 

 

 

 

 

 Yapılandırma Dosyaları 

 Bu sanal görüntüde bulunan tüm bileşenler, herhangi bir ayarı değiştirmeye gerek kalmadan, kutudan çıktığı gibi çalışacak şekilde yapılandırılmıştır. Ancak, tüm bileşenler tamamen özelleştirilebilir. Yapılandırma dosyalarının konumları şunlardır: 

 

 

 

 Wazuh yöneticisi: /var/ossec/etc/ossec.conf 

 

 

 Wazuh indeksleyici: /etc/wazuh-indexer/opensearch.yml 

 

 

 Filebeat-OSS: /etc/filebeat/filebeat.yml 

 

 

 Wazuh gösterge paneli: 

 

 

 

 /etc/wazuh-dashboard/opensearch_dashboards.yml 

 

 

 /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml 

 

 

 

 

 

 

 

 

 VirtualBox Zaman Yapılandırması 

 VirtualBox kullanılması durumunda, sanal makine içe aktarıldığında, VirtualBox konuk makinenin saatini senkronize ettiğinde zaman kaymasından kaynaklanan sorunlarla karşılaşılabilir. Bu durumdan kaçınmak için, sanal makine yapılandırmasının sekmesindeki seçeneği etkinleştirin. Hardware   Clock   in   UTC   Time System 

 Not:  Varsayılan olarak, ağ arabirimi türü Bridged Adapter olarak ayarlanır. VM, ağ DHCP sunucusundan bir IP adresi almaya çalışır. Alternatif olarak, VM'nin dayandığı Amazon Linux işletim sistemindeki uygun ağ dosyalarını yapılandırarak statik bir IP adresi ayarlanabilir. 

 Sanal makine içe aktarılıp çalıştırıldıktan sonraki adım, izlenecek sistemlere  Wazuh aracılarını dağıtmaktır . 

 

 

 VM'yi Yükseltme 

 Sanal makine geleneksel kurulum gibi yükseltilebilir: 

 

 

 

 Wazuh merkezi bileşenlerinin yükseltilmesi

Amazon Makine Görüntüleri (AMI)
Wazuh önceden oluşturulmuş bir Amazon Makine Görüntüsü (AMI) sağlar. Bir AMI, Amazon Elastic Compute Cloud (Amazon EC2) içinde sanal bir bilgi işlem ortamı oluşturmak için kullanıma hazır, önceden yapılandırılmış bir şablondur. En son Wazuh AMI paketleri, Amazon Linux 2'yi Wazuh sunucunuz için aşağıdaki merkezi bileşenlerle bir araya getirir: 

 

 

 Wazuh yöneticisi 4.9.2 

 

 

 Filebeat-OSS 7.10.2 

 

 

 Wazuh dizinleyici 4.9.2 

 

 

 Wazuh gösterge paneli 4.9.2 

 

 

 

 Paket Listesi 

 

 

 

 

 Dağıtım 

 

 

 Mimarlık 

 

 

 VM Biçimi 

 

 

 Son sürüm 

 

 

 Ürün sayfası 

 

 

 

 

 

 

 Amazon Linux 2 

 

 

 64 bit 

 

 

 AWS AMI 

 

 

 4.9.2 

 

 

 Wazuh Hepsi Bir Arada Dağıtım 

 

 

 

 

 

 

 Dağıtım Alternatifleri 

 Bir Wazuh örneğini dağıtmak için iki alternatif vardır. Wazuh All-In-One Deployment AMI'yi  doğrudan AWS Marketplace'ten başlatabilir veya AWS Management Console'u kullanarak bir örneği yapılandırabilir ve dağıtabilirsiniz. 

 

 

 AWS Marketplace'ten bir örnek başlatın 

 

 

 AWS Yönetim Konsolu'nu kullanarak bir örneği dağıtın 

 

 

 Not:  Wazuh Danışmanlık Hizmeti  AWS Marketplace'te de mevcuttur. Wazuh'un sunduğu Profesyonel Hizmet paketlerini kontrol edin. 

 

 AWS Marketplace'ten Bir Örnek Başlatın 

 

 AWS Marketplace'teki Wazuh All-In-One Dağıtımına  gidin ve ardından  Abone Olmaya Devam Et'e  tıklayın . 

 

 Bilgileri inceleyin ve yazılım için şartları kabul edin. Sunucu ürünümüze aboneliğinizi onaylamak için  Yapılandırmaya Devam Et'e tıklayın. 

 

 

 Bir  Yazılım Sürümü  ve örneğin dağıtılacağı  Bölgeyi seçin. Ardından  Başlatmaya Devam Et'e  tıklayın . 

 

 

 Yazılımı başlatmadan önce yapılandırmanızı gözden geçirin ve tüm ayarların doğru olduğundan emin olun. Varsayılan yapılandırma değerlerini ihtiyaçlarınıza göre uyarlayın. 

 

 

 

 EC2 Örnek Türünü  seçerken bir örnek türü kullanmanızı öneririz  c5a.xlarge . 

 

 

 Güvenlik Grubunu  seçerken , doğru işlemi garantilemek için  Wazuh örneğiniz için  uygun ayarlara sahip olması gerekir .  Satıcı ayarlarına göre yeni oluştur'u  seçerek yeni bir güvenlik grubu oluşturabilirsiniz . Bu yeni grup varsayılan olarak uygun ayarlara sahip olacaktır. 

 

 

 

 

 

 Örneği oluşturmak için  Başlat'a  tıklayın . 

 

 

 Örneğiniz başarıyla başlatıldıktan ve birkaç dakika geçtikten sonra  Wazuh kontrol paneline erişebilirsiniz  . 

 

 

 AWS Yönetim Konsolu'nu Kullanarak Bir Örneği Dağıtın 

 

 

 AWS Yönetim Konsolu  panonuzdan  Örneği başlat'ı  seçin . 

 

 

 Wazuh Inc. tarafından sunulan Wazuh All-In-One Deployment'ı bulun ve abone olmak için  Seç'e  tıklayın . 

 

 

 Sunucu ürün özelliklerini inceleyin, ardından  Devam'a  tıklayın . Bu, Sunucu ürünümüze abone olmanızı sağlar. 

 

 

 İhtiyaçlarınıza göre örnek türünü seçin ve ardından  İleri: Örnek Ayrıntılarını Yapılandır'a  tıklayın . Bir örnek türü kullanmanızı öneririz  c5a.xlarge . 

 

 

 Örneğinizi gerektiği gibi yapılandırın ve ardından  İleri: Depolama Ekle'ye  tıklayın . 

 

 

 Örneğinizin depolama kapasitesini  Boyut (GiB)  sütunu altında ayarlayın ve ardından  İleri: Etiket Ekle'ye  tıklayın . 100 GiB GP3 veya daha fazlasını öneririz. 

 

 

 İhtiyacınız kadar etiket ekleyin ve ardından  İleri: Güvenlik Grubunu Yapılandır'a  tıklayın . 

 

 

 Portların ve protokollerin Wazuh için  portlar ve protokoller  olduğunu kontrol edin . Örneğiniz için güvenlik önlemlerini kontrol edin. Bu, Güvenlik Grubunu (SG) kuracaktır. Ardından,  İncele ve Başlat'a  tıklayın . 

 

 

 Örnek yapılandırmasını gözden geçirin ve  Başlat'a  tıklayın . 

 

 

 Anahtar çifti ayarlarıyla ilgili olarak mevcut üç yapılandırma alternatifinden birini seçin:  Mevcut bir anahtar çifti seçin  ,  Yeni bir anahtar çifti oluşturun  ,  Anahtar çifti olmadan devam edin  . Örneğe SSH ile erişmek için mevcut bir anahtar çifti seçmeniz veya yeni bir tane oluşturmanız gerekir. 

 

 

 İşlemi tamamlamak ve örneğinizi dağıtmak için  Örnekleri başlat'a  tıklayın . 

 

 

 Örneğiniz tamamen yapılandırılıp lansmandan birkaç dakika sonra hazır hale geldiğinde  Wazuh kontrol paneline erişebilirsiniz  . 

 

 

 

 Yapılandırma Dosyaları 

 Bu AMI'de bulunan tüm bileşenler, herhangi bir ayarı değiştirmeye gerek kalmadan kullanıma hazır şekilde yapılandırılır. Ancak, tüm bileşenler tamamen özelleştirilebilir. Yapılandırma dosyalarının konumları şunlardır. 

 

 

 Wazuh yöneticisi: /var/ossec/etc/ossec.conf 

 

 

 Wazuh indeksleyici: /etc/wazuh-indexer/opensearch.yml 

 

 

 Filebeat-OSS: /etc/filebeat/filebeat.yml 

 

 

 Wazuh gösterge paneli: 

 

 

 

 /etc/wazuh-dashboard/opensearch_dashboards.yml 

 

 

 /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml 

 

 

 

 

 

 Wazuh'u yapılandırma hakkında daha fazla bilgi edinmek için  Kullanım kılavuzuna  bakın . 

 

 

 Wazuh Dashboard'a Erişin 

 Örnek başlatıldığında, kullanıcı parolaları otomatik olarak ilk harfi büyük olan örnek kimliğine değiştirilir. Örneğin:  I-07f25f6afe4789342 . Bu, yalnızca oluşturucunun arayüze erişebilmesini sağlar. Bu işlem, örneğin türüne bağlı olarak ortalama beş dakika sürebilir. Bu süre zarfında, hem SSH erişimi hem de Wazuh panosuna erişim devre dışı bırakılır. 

 Örnek çalışmaya başladıktan ve parola başlatma işlemi tamamlandıktan sonra kimlik bilgilerinizle Wazuh kontrol paneline erişebilirsiniz. 

 

 

 URL:  https://<ÖRNEĞİNİZ_IP> 

 

 

 Kullanıcı adı  :  admin 

 

 

 Şifre  :  <YOUR_INSTANCE_ID> 

 

 

 Not:  Şifre ilk harfi büyük olan örnek kimliğidir. Örneğin: I-07f25f6afe4789342 . 

 Uyarı:  Sunucu API kullanıcıları için parola wazuh , kullanıcının parolasıyla  wazuh-wui aynıdır  admin . İlk SSH erişiminde varsayılan parolaları değiştirmenizi şiddetle öneririz. Bu işlemi gerçekleştirmek için  Parola yönetimi  bölümüne bakın. 

 

 

 SSH ile İlgili Güvenlik Hususları 

 

 

 Kullanıcı  root SSH ile tanımlanamıyor ve örneğe yalnızca şu kullanıcı aracılığıyla erişilebiliyor:  wazuh-user . 

 

 

 Parolalar aracılığıyla SSH kimlik doğrulaması devre dışı bırakıldı ve örneğe yalnızca bir anahtar çifti aracılığıyla erişilebilir. Bu, yalnızca anahtar çiftine sahip kullanıcının örneğe erişebileceği anlamına gelir. 

 

 

 Örneğe bir anahtar çiftiyle erişmek için, AWS'de oluşturulan veya depolanan anahtarı indirmeniz gerekir. Ardından, örneğe bağlanmak için aşağıdaki komutu çalıştırın. 

 ssh -i "<KEY_PAIR_NAME>" wazuh-user@<YOUR_INSTANCE_IP> 

 

 

 Olası sorunları önlemek için ilk parola değiştirme işlemi sırasında erişim devre dışı bırakılır. Bu işlemin tamamlanması birkaç dakika sürebilir. Tamamlanmadan önce herhangi bir erişim girişimi gösterilir . wazuh-user@<INSTANCE_IP>:   Permission   denied   (publickey,gssapi-keyex,gssapi-with-mic) 

 

 

 

 

 Sonraki Adımlar 

 Wazuh AMI artık hazır ve izlenecek sistemlere  Wazuh ajanlarını dağıtmaya  başlayabilirsiniz . 

 

 

 AMI'yi Yükseltme 

 Wazuh merkezi bileşenlerinin nasıl yükseltileceğine ilişkin talimatları izleyin. 

 

 

 

 

 Wazuh merkezi bileşenlerinin yükseltilmesi

Docker'da Dağıtım
Bu bölümde Wazuh'un Docker'a kurulum süreci ayrıntılı olarak anlatılmaktadır.

Docker, yazılım kapsayıcıları içinde uygulama oluşturmak, sunmak ve çalıştırmak için açık bir platformdur. Docker kapsayıcıları, çalıştırmak için gereken her şeyi içeren yazılımları paketler: kod, çalışma zamanı, sistem araçları, sistem kitaplıkları ve ayarlar. Docker, uygulamaları altyapıdan ayırmayı sağlar. Bu, kapsayıcının çalıştığı ortamdan bağımsız olarak uygulamanın her zaman aynı şekilde çalışmasını garanti eder. Kapsayıcılar bulutta veya şirket içinde çalışır.

wazuh/wazuh-managerWazuh'u , wazuh/wazuh-indexerve gibi oluşturduğumuz Docker görüntülerini kullanarak yükleyebilirsiniz . Tüm Wazuh Docker görüntülerini Docker hub'ındawazuh/wazuh-dashboard bulabilirsiniz .

Docker kurulumu bölümünde , Docker'ın nasıl kurulacağını görebilirsiniz. Wazuh'un Docker'a nasıl kurulacağını Wazuh Docker dağıtımında bulabilirsiniz . Hizmetlere ve kapsayıcılara nasıl erişeceğinizi, veri birimlerini nasıl yöneteceğinizi ve bir kabuğu nasıl çalıştıracağınızı öğrenmek için Wazuh Docker yardımcı programları bölümünü okuyun. Son olarak, SSS bölümünde bazı sık sorulan soruların yanıtlarını bulabilirsiniz .

Docker Kurulumu
Yapmanız gereken ilk şey, Docker ve Docker compose'u çalıştırmak için gereken gereksinimlere sahip bir sistem kurmaktır. Daha sonra, henüz yoksa Docker ve Docker compose'u yükleyin. 

 Not:  Aşağıda açıklanan tüm komutları çalıştırmak için root kullanıcı ayrıcalıklarına ihtiyacınız var. 

 

 Gereksinimler 

 

 Konteyner Belleği   

 Docker ana bilgisayarını en az 6 GB bellekle yapılandırmanızı öneririz. Dağıtım ve kullanıma bağlı olarak, Wazuh dizinleyici bellek tüketimi değişir. Bu nedenle, tam bir yığın dağıtımının düzgün çalışması için önerilen belleği ayırın. 

 

 

 Sunucunuzdaki max_map_count'u Artırın (Linux) 

 Wazuh indeksleyicisi birçok bellek eşlemeli alan oluşturur. Bu yüzden çekirdeği bir işleme en az 262.144 bellek eşlemeli alan verecek şekilde ayarlamanız gerekir. 

 

 

 max_map_count Docker hostunuzdaki artışı artırın: 

 sysctl -w vm.max_map_count=262144 

 

 

 vm.max_map_count Bu değeri kalıcı olarak ayarlamak için ayarı güncelleyin  /etc/sysctl.conf . Yeniden başlattıktan sonra doğrulamak için “ sysctl   vm.max_map_count ” çalıştırın. 

 Uyarı:  Eğer hostunuzda ayarlamazsanız max_map_count , Wazuh indeksleyicisi düzgün çalışmayacaktır. 

   

 

 

 

 

 

 Docker Motoru 

 Linux/Unix makineleri için Docker, çekirdek sürümü 3.10 veya üzeri olan bir amd64 mimari sistemine ihtiyaç duyar. 

 

 

 Bir terminal açın ve çekirdek sürümünüzü görüntülemek ve kontrol etmek için şunu kullanın: uname   -r 

 

 uname -r 

 

 Output 

 

 3.10.0-229.el7.x86_64 

 

 

 Docker kurulum betiğini çalıştırın: Ubuntu/Debian Makinelerinde  

 curl -sSL https://get.docker.com/ | sh 

 CentOS Makinelerinde 

 yum install -y yum-utils

yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

yum install docker-ce docker-ce-cli containerd.io docker-compose-plugin 

 Amazon Linux 2 Makinede 

 yum update -y

yum install docker 

 

 

 

 

 

 Docker servisini başlatın: Systemd 

 

 

 

 

 

 systemctl start docker 

 SysV Başlatma 

 service docker start 

 

 

 

 

 

 

 

 

 

 

 

 Not:  Docker'ı kök olmayan bir kullanıcı olarak kullanmak istiyorsanız, kullanıcınızı  docker aşağıdakine benzer bir komutla gruba eklemelisiniz: . Bunun etkili olması için oturumu kapatıp tekrar oturum açın. usermod   -aG   docker   your-user 

 

 

 Docker Oluşturma 

 Wazuh Docker dağıtımı Docker Compose 1.29 veya üzerini gerektirir. Yüklemek için şu adımları izleyin: 

 

 

 Docker Compose ikili dosyasını indirin: 

 curl -L "https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose 

 

 

 Yürütme izinlerini verin: 

 chmod +x /usr/local/bin/docker-compose 

 

 

 Her şeyin yolunda olduğundan emin olmak için kurulumu test edin: 

 docker-compose --version 

 

 Output 

 

 Docker Compose version v2.12.2 

 Not: Kurulumdan sonra komut başarısız olursa . Yolunuzdaki herhangi bir dizine veya başka bir dizine docker-compose sembolik bir bağlantı oluşturun : /usr/bin ln   -s   /usr/local/bin/docker-compose   /usr/bin/docker-compose 

  

Wazuh Docker Dağıtımı
Kullanım 

 Wazuh'u tek düğümlü veya çok düğümlü bir yığın olarak dağıtabilirsiniz. 

 

 

 Tek düğümlü dağıtım  : Bir Wazuh yöneticisi, dizinleyici ve pano düğümü dağıtır. 

 

 

 Çoklu düğüm dağıtımı  : İki Wazuh yönetici düğümü (bir ana ve bir çalışan), üç Wazuh dizinleyici düğümü ve bir Wazuh gösterge paneli düğümü dağıtır. 

 

 

 Her iki dağıtım da kalıcılığı kullanır ve düğümler arasındaki iletişimleri güvence altına almak için sertifikaların yapılandırılmasına izin verir. Çok düğümlü yığın, yüksek kullanılabilirlik içeren tek dağıtımdır. 

 

 Tek Düğüm Dağıtımı 

 

 

 Wazuh deposunu sisteminize kopyalayın: 

 git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.2 

 Daha sonra aşağıda anlatılan tüm komutları çalıştırmak için single-node  dizine girin. 

 

 

 Yığındaki her düğüm için bir sertifika grubu sağlayarak düğümler arasındaki iletişimi güvence altına alın. Bu sertifikaları sağlamak için iki alternatifiniz var: 

 

 

 Her küme düğümü için kendi kendine imzalanmış sertifikalar oluşturun. 

 Wazuh sertifika oluşturma aracını kullanarak sertifika oluşturmayı otomatikleştirmek için bir Docker imajı oluşturduk. 

 Sisteminiz bir proxy kullanıyorsa, dosyaya aşağıdakileri ekleyin  generate-indexer-certs.yml . Kullanmıyorsa, bu adımı atlayın: 

 environment:

 - HTTP_PROXY=YOUR_PROXY_ADDRESS_OR_DNS 

 Tamamlanmış bir örnek şu şekildedir: 

 # Wazuh App Copyright (C) 2017 Wazuh Inc. (License GPLv2)

version: '3'

services:

 generator:

 image: wazuh/wazuh-certs-generator:0.0.2

 hostname: wazuh-certs-generator

 volumes:

 - ./config/wazuh_indexer_ssl_certs/:/certificates/

 - ./config/certs.yml:/config/certs.yml

 environment:

 - HTTP_PROXY=YOUR_PROXY_ADDRESS_OR_DNS

 

 İstenilen sertifikaları almak için aşağıdaki komutu çalıştırın: 

 docker-compose -f generate-indexer-certs.yml run --rm generator 

 Bu sertifikaları dizine kaydeder  config/wazuh_indexer_ssl_certs . 

 

 

 Her düğüm için kendi sertifikalarınızı sağlayın. 

 Eğer kendi sertifikalarınız varsa, bunları dizinde aşağıdaki şekilde sağlayın  config/wazuh_indexer_ssl_certs : 

 Wazuh indexer : 

 config/wazuh_indexer_ssl_certs/root-ca.pem

config/wazuh_indexer_ssl_certs/wazuh.indexer-key.pem

config/wazuh_indexer_ssl_certs/wazuh.indexer.pem

config/wazuh_indexer_ssl_certs/admin.pem

config/wazuh_indexer_ssl_certs/admin-key.pem

 

 Wazuh manager : 

 config/wazuh_indexer_ssl_certs/root-ca-manager.pem

config/wazuh_indexer_ssl_certs/wazuh.manager.pem

config/wazuh_indexer_ssl_certs/wazuh.manager-key.pem

 

 Wazuh dashboard : 

 config/wazuh_indexer_ssl_certs/wazuh.dashboard.pem

config/wazuh_indexer_ssl_certs/wazuh.dashboard-key.pem

config/wazuh_indexer_ssl_certs/root-ca.pem

 

 

 

 

 

 docker-compose kullanarak Wazuh tek düğümlü dağıtımını başlatın: 

 

 

 Ön Plan  : 

 docker-compose up 

 

 

 Arka plan  : 

 docker-compose up -d 

 

 

 Wazuh panosu için varsayılan kullanıcı adı ve parola admin ve SecretPassword 'dir . Ek  güvenlik  için, Wazuh dizinleyici yönetici  kullanıcısı için varsayılan parolayı değiştirebilirsiniz . 

 

 

 Not:  Wazuh dizinleyicisinin ne zaman çalıştığını bilmek için Wazuh gösterge paneli kapsayıcısı  curl Wazuh dizinleyici API'sine birden fazla sorgu çalıştırmak için kullanılır. Wazuh dizinleyicisi başlatılana kadar birkaç günlük Failed   to   connect   to   Wazuh   indexer   port   9200 mesajı veya "  Wazuh gösterge paneli sunucusu henüz hazır değil  " mesajı görmeyi bekleyebilirsiniz. Ardından kurulum süreci normal şekilde devam eder. Wazuh dizinleyicisinin başlatılması yaklaşık 1 dakika sürer. Varsayılan Wazuh dizinleyici kimlik bilgilerini docker-compose.yml dosyada bulabilirsiniz . 

 

 

 Çoklu Düğüm Dağıtımı 

 

 

 Wazuh deposunu sisteminize kopyalayın: 

 git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.2 

 multi-node Daha sonra aşağıda anlatılan tüm komutları çalıştırmak için dizine girin. 

 

 

 Yığındaki her düğüm için bir sertifika grubu sağlayarak düğümler arasındaki iletişimleri güvence altına alın. Bu sertifikaları sağlamak için iki alternatifiniz var: 

 

 

 Her küme düğümü için kendi kendine imzalanmış sertifikalar oluşturun. 

 Wazuh sertifika oluşturma aracını kullanarak sertifika oluşturmayı otomatikleştirmek için bir Docker imajı oluşturduk. 

 Sisteminiz bir proxy kullanıyorsa, dosyaya aşağıdakileri ekleyin  generate-indexer-certs.yml . Kullanmıyorsa, bu adımı atlayın: 

 environment:

 - HTTP_PROXY=YOUR_PROXY_ADDRESS_OR_DNS 

 Tamamlanmış bir örnek şu şekildedir: 

 # Wazuh App Copyright (C) 2017 Wazuh Inc. (License GPLv2)

version: '3'

services:

 generator:

 image: wazuh/wazuh-certs-generator:0.0.2

 hostname: wazuh-certs-generator

 volumes:

 - ./config/wazuh_indexer_ssl_certs/:/certificates/

 - ./config/certs.yml:/config/certs.yml

 environment:

 - HTTP_PROXY=YOUR_PROXY_ADDRESS_OR_DNS

 

 İstenilen sertifikaları almak için aşağıdaki komutu çalıştırın: 

 docker-compose -f generate-indexer-certs.yml run --rm generator 

 Bu sertifikaları dizine kaydeder  config/wazuh_indexer_ssl_certs . 

 

 

 Her düğüm için kendi sertifikalarınızı sağlayın. 

 Eğer kendi sertifikalarınız varsa, bunları aşağıdaki şekilde temin edin: 

 Wazuh indeksleyicisi  : 

 config/wazuh_indexer_ssl_certs/root-ca.pem

config/wazuh_indexer_ssl_certs/wazuh1.indexer-key.pem

config/wazuh_indexer_ssl_certs/wazuh1.indexer.pem

config/wazuh_indexer_ssl_certs/wazuh2.indexer-key.pem

config/wazuh_indexer_ssl_certs/wazuh2.indexer.pem

config/wazuh_indexer_ssl_certs/wazuh3.indexer-key.pem

config/wazuh_indexer_ssl_certs/wazuh3.indexer.pem

config/wazuh_indexer_ssl_certs/admin.pem

config/wazuh_indexer_ssl_certs/admin-key.pem

 

 Wazuh manager : 

 config/wazuh_indexer_ssl_certs/root-ca-manager.pem

config/wazuh_indexer_ssl_certs/wazuh.master.pem

config/wazuh_indexer_ssl_certs/wazuh.master-key.pem

config/wazuh_indexer_ssl_certs/wazuh.worker.pem

config/wazuh_indexer_ssl_certs/wazuh.worker-key.pem

 

 Wazuh dashboard : 

 config/wazuh_indexer_ssl_certs/wazuh.dashboard.pem

config/wazuh_indexer_ssl_certs/wazuh.dashboard-key.pem

config/wazuh_indexer_ssl_certs/root-ca.pem

 

 

 

 

 

 Wazuh çoklu düğüm dağıtımını şunu kullanarak başlatın  docker-compose : 

 

 

 Ön Plan  : 

 docker-compose up 

 

 

 Arka plan  : 

 docker-compose up -d 

 

 

 Wazuh panosu için varsayılan kullanıcı adı ve parola ve'dir  admin .  SecretPassword Ek  güvenlik  için, Wazuh dizinleyici yönetici  kullanıcısı için varsayılan parolayı değiştirebilirsiniz . 

 

 

 Not:  Wazuh dizinleyicisinin ne zaman çalıştığını bilmek için Wazuh gösterge paneli kapsayıcısı  curl Wazuh dizinleyici API'sine birden fazla sorgu çalıştırmak için kullanılır. Wazuh dizinleyicisi başlatılana kadar birkaç günlük Failed   to   connect   to   Wazuh   indexer   port   9200  mesajı veya "Wazuh gösterge paneli sunucusu henüz hazır değil" mesajı görmeyi bekleyebilirsiniz. Ardından kurulum süreci normal şekilde devam eder. Wazuh dizinleyicisinin başlatılması yaklaşık 1 dakika sürer. Varsayılan Wazuh dizinleyici kimlik bilgilerini docker-compose.yml dosyada bulabilirsiniz . 

 

 

 Docker Görüntülerini Yerel Olarak Oluşturun 

 Wazuh yöneticisini, dizinleyiciyi ve gösterge paneli görüntülerini yerel olarak değiştirebilir ve oluşturabilirsiniz. 

 

 

 Wazuh deposunu sisteminize kopyalayın: 

 git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.2 

 

 

 4.3.4'e kadar olan sürümler için dizine girin  build-docker-images ve Wazuh yöneticisini, dizinleyiciyi ve gösterge paneli görüntülerini oluşturun: 

 docker-compose build 

 4.3.5 ve üzeri sürümler için görüntü oluşturma betiğini çalıştırın: 

 build-docker-images/build-images.sh 

 

 

 

 

 Wazuh Kullanıcılarının Şifresini Değiştirin 

 Güvenliği artırmak için Wazuh kullanıcılarının varsayılan şifresini değiştirebilirsiniz. İki tür Wazuh kullanıcısı vardır: 

 

 

 Wazuh dizinleyici kullanıcıları 

 

 

 Wazuh API kullanıcıları 

 

 

 Bu Wazuh kullanıcılarının parolasını değiştirmek için aşağıdaki adımları uygulayın. Wazuh on Docker dağıtımınıza bağlı olarak komutları  single-node/ veya multi-node/  dizininizden çalıştırmalısınız . 

 

 Wazuh Indexer Kullanıcıları 

 Varsayılan admin  ve kibanaserver  kullanıcıların şifresini değiştirmek için aşağıdakileri yapın. Bir seferde yalnızca birini değiştirebilirsiniz. 

 Uyarı:  Özel kullanıcılarınız varsa, bunları internal_users.yml  dosyaya ekleyin. Aksi takdirde, bu prosedürü yürütmek onları siler. 

 

 Wazuh Panosu Oturumunuzu Kapatma 

 Şifre değiştirme işlemine başlamadan önce Wazuh kontrol paneli oturumunuzdan çıkış yapmanızı öneririz. 

 Çıkış yapmadığınız takdirde, kalıcı oturum çerezleri kullanıcı şifrelerini değiştirdikten sonra Wazuh'a erişirken hatalara neden olabilir. 

 

 

 Yeni Bir Karma Ayarlama 

 

 

 Çalışıyorsa dağıtım yığınını durdurun: 

 docker-compose down 

 

 

 Yeni parolanızın karmasını oluşturmak için bu komutu çalıştırın. Konteyner başlatıldığında, yeni parolayı girin ve  Enter'a basın. 

 docker run --rm -ti wazuh/wazuh-indexer:4.9.2 bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/hash.sh 

 

 

 Oluşturulan hash'i kopyalayın. 

 

 

 Dosyayı açın  config/wazuh_indexer/internal_users.yml . Şifresini değiştirdiğiniz kullanıcıya ait bloğu bulun. 

 

 

 Karmayı değiştirin. 

 

 

 admin kullanıcı 

 ...

admin:

 hash: "$2y$12$K/SpwjtB.wOHJ/Nc6GVRDuc1h0rM1DfvziFRNPtk27P.c4yDr9njO"

 reserved: true

 backend_roles:

 - "admin"

 description: "Demo admin user"

...

 

 

 

 kibanaserver kullanıcı 

 ...

kibanaserver:

 hash: "$2a$12$4AcgAt3xwOWadA5s5blL6ev39OXDNhmOesEoo33eZtrq2N0YrU3H."

 reserved: true

 description: "Demo kibanaserver user"

...

 

 

 

 

 

 

 

 Yeni Şifreyi Ayarlama 

 Uyarı:  Yeni şifrenizde $ veya & karakterlerini kullanmayın . Bu karakterler dağıtım sırasında hatalara neden olabilir. 

 

 

 Dosyayı açın  docker-compose.yml . Eski parolanın tüm oluşumlarını yenisiyle değiştirin. Örneğin, tek düğümlü bir dağıtım için: 

 

 

 admin kullanıcı 

 ...

services:

 wazuh.manager:

 ...

 environment:

 - INDEXER_URL=https://wazuh.indexer:9200

 - INDEXER_USERNAME=admin

 - INDEXER_PASSWORD=SecretPassword

 - FILEBEAT_SSL_VERIFICATION_MODE=full

 - SSL_CERTIFICATE_AUTHORITIES=/etc/ssl/root-ca.pem

 - SSL_CERTIFICATE=/etc/ssl/filebeat.pem

 - SSL_KEY=/etc/ssl/filebeat.key

 - API_USERNAME=wazuh-wui

 - API_PASSWORD=MyS3cr37P450r.*-

 ...

 wazuh.indexer:

 ...

 environment:

 - "OPENSEARCH_JAVA_OPTS=-Xms1024m -Xmx1024m"

 ...

 wazuh.dashboard:

 ...

 environment:

 - INDEXER_USERNAME=admin

 - INDEXER_PASSWORD=SecretPassword

 - WAZUH_API_URL=https://wazuh.manager

 - DASHBOARD_USERNAME=kibanaserver

 - DASHBOARD_PASSWORD=kibanaserver

 - API_USERNAME=wazuh-wui

 - API_PASSWORD=MyS3cr37P450r.*-

 ...

 

 

 

 kibanaserver kullanıcı 

 ...

services:

 wazuh.dashboard:

 ...

 environment:

 - INDEXER_USERNAME=admin

 - INDEXER_PASSWORD=SecretPassword

 - WAZUH_API_URL=https://wazuh.manager

 - DASHBOARD_USERNAME=kibanaserver

 - DASHBOARD_PASSWORD=kibanaserver

 - API_USERNAME=wazuh-wui

 - API_PASSWORD=MyS3cr37P450r.*-

 ...

 

 

 

 

 

 

 

 Değişiklikleri Uygulama 

 

 

 Dağıtım yığınını başlatın. 

 docker-compose up -d 

 

 

 Çalıştırın ve ilk Wazuh dizinleyici kabının adını not edin. Örneğin, , veya . docker   ps single-node-wazuh.indexer-1 multi-node-wazuh1.indexer-1 

 

 

 Konteynere girmek için koşun . Örneğin: docker   exec   -it   <WAZUH_INDEXER_CONTAINER_NAME>   bash 

 docker exec -it single-node-wazuh.indexer-1 bash 

 

 

 Aşağıdaki değişkenleri ayarlayın: 

 export INSTALLATION_DIR=/usr/share/wazuh-indexer

CACERT=$INSTALLATION_DIR/certs/root-ca.pem

KEY=$INSTALLATION_DIR/certs/admin-key.pem

CERT=$INSTALLATION_DIR/certs/admin.pem

export JAVA_HOME=/usr/share/wazuh-indexer/jdk 

 

 

 Wazuh dizinleyicisinin düzgün bir şekilde başlatılmasını bekleyin. Bekleme süresi iki ila beş dakika arasında değişebilir. Kümenin boyutuna, atanan kaynaklara ve ağın hızına bağlıdır. Ardından,  securityadmin.sh tüm değişiklikleri uygulamak için betiği çalıştırın. Tek Düğümlü Küme 

 bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh -cd /usr/share/wazuh-indexer/opensearch-security/ -nhnv -cacert $CACERT -cert $CERT -key $KEY -p 9200 -icl 

 Çok Düğümlü Küme 

 

 

 

 HOST=$(grep node.name $INSTALLATION_DIR/opensearch.yml | awk '{printf $2}')

bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh -cd /usr/share/wazuh-indexer/opensearch-security/ -nhnv -cacert $CACERT -cert $CERT -key $KEY -p 9200 -icl -h $HOST 

 

 

 

 

 

 

 

 

 

 Wazuh dizinleyici konteynerinden çıkın ve Wazuh panosunda yeni kimlik bilgilerinizle oturum açın. 

 

 

 

 

 

 Wazuh API Kullanıcıları 

 Kullanıcı  wazuh-wui , varsayılan olarak Wazuh API'sine bağlanacak kullanıcıdır. Parolayı değiştirmek için şu adımları izleyin. 

 Not 

   

 Wazuh API kullanıcıları için parola 8 ila 64 karakter uzunluğunda olmalıdır. En az bir büyük harf ve bir küçük harf, bir sayı ve bir sembol içermelidir. 

 

 

 Dosyayı açın  config/wazuh_dashboard/wazuh.yml ve parametrenin değerini değiştirin  password . 

 ...

hosts:

 - 1513629884013:

 url: "https://wazuh.manager"

 port: 55000

 username: wazuh-wui

 password: "MyS3cr37P450r.*-"

 run_as: false

...

 

 

 

 Dosyayı açın  docker-compose.yml . Eski şifrenin tüm tekrarlarını yenisiyle değiştirin. 

 ...

services:

 wazuh.manager:

 ...

 environment:

 - INDEXER_URL=https://wazuh.indexer:9200

 - INDEXER_USERNAME=admin

 - INDEXER_PASSWORD=SecretPassword

 - FILEBEAT_SSL_VERIFICATION_MODE=full

 - SSL_CERTIFICATE_AUTHORITIES=/etc/ssl/root-ca.pem

 - SSL_CERTIFICATE=/etc/ssl/filebeat.pem

 - SSL_KEY=/etc/ssl/filebeat.key

 - API_USERNAME=wazuh-wui

 - API_PASSWORD=MyS3cr37P450r.*-

 ...

 wazuh.dashboard:

 ...

 environment:

 - INDEXER_USERNAME=admin

 - INDEXER_PASSWORD=SecretPassword

 - WAZUH_API_URL=https://wazuh.manager

 - DASHBOARD_USERNAME=kibanaserver

 - DASHBOARD_PASSWORD=kibanaserver

 - API_USERNAME=wazuh-wui

 - API_PASSWORD=MyS3cr37P450r.*-

 ...

 

 

 

 Wazuh konteynerlerini yeniden oluşturun: 

 docker-compose down

docker-compose up -d 

 

 

 

 

 

 

 Açıkta Kalan Portlar 

 Varsayılan olarak, yığın aşağıdaki portları açığa çıkarır: 

 

 

 

 

 1514 

 

 

 Wazuh TCP 

 

 

 

 

 1515 

 

 

 Wazuh TCP 

 

 

 

 

 514 

 

 

 Wazuh UDP 

 

 

 

 

 55000 

 

 

 Wazuh API 

 

 

 

 

 9200 

 

 

 Wazuh dizinleyici HTTPS 

 

 

 

 

 443 

 

 

 Wazuh panosu HTTPS 

 

 

 

 

 Not:  Docker yapılandırmayı dinamik olarak yeniden yüklemez. Bir bileşenin yapılandırmasını değiştirdikten sonra yığını yeniden başlatmanız gerekir.

Wazuh Docker Yardımcı Programları
Wazuh-Docker konteynerlerini kurduktan sonra, Wazuh kurulumunuzdan en iyi şekilde yararlanmak için yapabileceğiniz birkaç görev vardır. 

 

 Hizmetlere ve Konteynerlere Erişim 

 

 

 Docker ana bilgisayar IP adresini kullanarak Wazuh panosuna erişin. Örneğin,  https://localhost Docker ana bilgisayarındaysanız. 

 Not:  Kendinden imzalı bir sertifika kullanmanız durumunda tarayıcınız sertifikanın gerçekliğini doğrulayamadığına dair bir uyarı verecektir. 

   

 

 

 Standart kayıt sürecini izleyerek ve Docker ana bilgisayar adresini yönetici adresi olarak kullanarak aracıları kaydedin. Daha fazla bilgi için  Wazuh aracı kayıt  belgelerine bakın. 

 

 

 Wazuh dosyasının bulunduğu dizindeki kapsayıcıları listeleyin  docker-compose.yml : 

 docker-compose ps 

 

 Output 

 

 NAME COMMAND SERVICE STATUS PORTS

single-node-wazuh.dashboard-1 "/entrypoint.sh" wazuh.dashboard running 443/tcp, 0.0.0.0:443->5601/tcp

single-node-wazuh.indexer-1 "/entrypoint.sh open…" wazuh.indexer running 0.0.0.0:9200->9200/tcp

single-node-wazuh.manager-1 "/init" wazuh.manager running 0.0.0.0:1514-1515->1514-1515/tcp, 0.0.0.0:514->514/udp, 0.0.0.0:55000->55000/tcp, 1516/tcp 

 

 

 docker-compose.yml Her bir konteynerin komut satırına erişmek için dosyanın bulunduğu dizinden aşağıdaki komutu çalıştırın: 

 docker-compose exec <SERVICE> bash 

 

 

 

 

 Wazuh Servis Veri Hacimleri 

 Wazuh yapılandırma ve günlük dosyalarının kapsayıcılarının dışında var olmasını ayarlayabilirsiniz. Bu, dosyaların kapsayıcıları kaldırdıktan sonra da kalıcı olmasını sağlar ve kapsayıcılarınıza özel yapılandırma dosyaları sağlayabilirsiniz. 

 Bir Wazuh konteynerinde kalıcılığı garantilemek için birden fazla birime ihtiyacınız var. Aşağıda  docker-compose.yml kalıcı birimlere sahip bir örnek verilmiştir: 

 services:

 wazuh:

 . . .

 volumes:

 - wazuh_api_configuration:/var/ossec/api/configuration

volumes:

 wazuh_api_configuration: 

 Kalıcı birimleri şu şekilde listeleyebilirsiniz : docker   volume   ls 

 

 Output 

 

 DRIVER VOLUME NAME

local single-node_wazuh_api_configuration 

 

 

 Wazuh Indexer ve Dashboard İçin Depolama Hacmi 

 Wazuh dizinleyici verilerinin depolanması için bir birim eklemek de mümkündür. Varsayılan olarak, tek düğümlü ve çok düğümlü dağıtımlar zaten yapılandırılmış birimlere sahiptir. Tek düğümlü bir wazuh dizinleyici biriminin bir örneği aşağıda gösterilmiştir  docker-compose.yml : 

 wazuh.indexer:

 . . .

 volumes:

 - wazuh-indexer-data:/var/lib/wazuh-indexer

 . . .

volumes:

 wazuh-indexer-data 

 

 

 Özel Komutlar ve Scriptler 

 Wazuh yönetici kabında komutları çalıştırmak için bir kabuk çalıştırabilirsiniz: 

 docker exec -it single-node-wazuh.manager-1 bash 

 Bu kabukta yapılan her değişiklik, veri birimleri doğru şekilde yapılandırıldığı sürece kalıcı olur.

Kubernetes'te Dağıtım
Bu bölümde Wazuh'un Kubernetes'e kurulum, yükseltme ve temizleme süreci gösterilmektedir.

Kubernetes açık kaynaklı bir konteyner düzenleme motorudur. Konteynerler, bağımlılıkları ve yapılandırmalarıyla paketlenmiş mikro hizmetlerdir. Kubernetes, konteynerleştirilmiş uygulamaların dağıtımını, ölçeklenmesini ve yönetimini otomatikleştirerek bir kümede çalışmak üzere tasarlanmıştır. Birden fazla sunucuya dağıtılan birden fazla konteyneri kapsayan uygulamaların çalışmasını basitleştirir. Kolay yönetim ve keşif için konteynerler, Kubernetes için temel operasyonel birim olan pod'lara gruplandırılır. Kubernetes pod'ları, yüksek kullanılabilirlik sağlamak için düğümler arasında dağıtılır. Kubernetes, konteynerlerinizi çalıştıran tüm Kubernetes düğümlerinde ağ oluşturma, yük dengeleme, güvenlik ve ölçekleme konusunda yardımcı olur.

Belgelerin bu bölümünde, Wazuh Kubernetes deposunu nasıl klonlayacağınızı , sertifikaları nasıl ayarlayacağınızı, manifestoları nasıl uygulayacağınızı ve bulutta ve yerel ortamlarda Kubernetes'e Wazuh'u kurmak için gerekli pod'ları ve hizmetleri nasıl dağıtacağınızı göreceksiniz. Ayrıca, Kubernetes yapılandırma alt bölümünü bulacaksınız ve Kubernetes'e yüklenen Wazuh'u Yükselt alt bölümünde uygulamanızı nasıl yükselteceğinizi öğreneceksiniz . Son olarak, Temizleme alt bölümünde hem kümeleri hem de birimleri nasıl temizleyeceğinizi göreceksiniz .

Kubernetes Yapılandırması
Ön Koşullar 

 

 

 Zaten dağıtılmış bir Kubernetes kümesi. 

 

 

 Kubernetes 1.23 ve üzeri sürümlerini kullanan Amazon EKS dağıtımları için bir Amazon EBS CSI sürücüsü IAM rolü. CSI sürücüsünün düzgün çalışması için bir IAM rolü atamanız gerekir.  Amazon EBS CSI sürücüsü IAM rolünü oluşturma  talimatlarını bulmak için AWS belgelerini okuyun . Hem yeni hem de eski dağıtımlar için CSI sürücüsünü yüklemeniz gerekir. CSI sürücüsü, temel bir Kubernetes özelliğidir. 

 

 

 

 

 Kaynak Gereksinimi 

 Wazuh'u Kubernetes'e dağıtmak için kümede en azından aşağıdaki kaynakların bulunması gerekir: 

 

 

 2 CPU ünitesi 

 

 

 3 Gi hafıza 

 

 

 2 Gi depolama 

 

 

 

 

 Genel Bakış 

 

 StatefulSet ve Dağıtım Denetleyicileri 

 Bir Dağıtım  olarak , bir  StatefulSet,  aynı kapsayıcı spesifikasyonuna dayanan Pod'ları yönetir, ancak her bir pod'una bağlı bir kimliği korur. Bu pod'lar aynı spesifikasyondan oluşturulur, ancak birbirlerinin yerine kullanılamazlar: her birinin herhangi bir yeniden planlama boyunca korunan kalıcı bir tanımlayıcısı vardır. 

 Verileri kalıcı depolamaya kaydeden veritabanları gibi durumlu uygulamalar için kullanışlıdır. Her Wazuh yöneticisinin ve her Wazuh dizinleyicisinin durumları korunmalıdır, bu nedenle her başlatmada durumlarını koruduklarından emin olmak için bunları StatefulSet kullanarak bildiririz. 

 Dağıtımlar durumsuz kullanım için tasarlanmıştır ve oldukça hafiftir ve durumların bakımının gerekli olmadığı Wazuh panosu için uygun görünmektedir. 

 Kalıcı birimler (PV), sağlanan kümedeki depolama parçalarıdır. Bir düğümün küme kaynağı olması gibi kümedeki bir kaynaktır. Kalıcı birimler, Birimler gibi birim eklentileridir ancak PV'yi kullanan herhangi bir bireysel pod'dan bağımsız bir yaşam döngüsüne sahiptir. Bu API nesnesi, NFS, iSCSI veya bulut sağlayıcıya özgü bir depolama sistemi olsun, depolamanın uygulanmasının ayrıntılarını yakalar. 

 Burada, hem Wazuh yöneticisinden hem de Wazuh dizinleyicisinden gelen verileri depolamak için kalıcı birimleri kullanıyoruz. 

 Daha fazla bilgi için kalıcı birimler  sayfasına bakın . 

 

 

 Baklalar 

 Wazuh docker konteynerlerinin nasıl oluşturulduğunu depolardan  inceleyebilirsiniz . 

 Wazuh master 

 Bu pod, Wazuh kümesinin ana düğümünü içerir. Ana düğüm, çalışan düğümlerini merkezileştirir ve koordine eder, kritik ve gerekli verilerin tüm düğümler arasında tutarlı olmasını sağlar. Yönetim yalnızca bu düğümde gerçekleştirilir, bu nedenle aracı kayıt hizmeti (authd) buraya yerleştirilir. 

 

 

 

 

 Resim 

 

 

 Kontroller 

 

 

 

 

 

 

 wazuh/wazuh-yöneticisi 

 

 

 Durumsal Küme 

 

 

 

 

 Wazuh worker 0 / 1 

 Bu pod'lar Wazuh kümesinin bir işçi düğümünü içerir. Bunlar ajan olaylarını alacaktır. 

 

 

 

 

 Resim 

 

 

 Kontroller 

 

 

 

 

 

 

 wazuh/wazuh-yöneticisi 

 

 

 Durumsal Küme 

 

 

 

 

 Wazuh indexer 

 Wazuh dizinleyici pod'u Filebeat'ten alınan olayları alır. 

 

 

 

 

 Resim 

 

 

 Kontroller 

 

 

 

 

 

 

 wazuh/wazuh-indeksleyici 

 

 

 Durumsal Küme 

 

 

 

 

 Wazuh dashboard  

 Wazuh kontrol paneli, Wazuh dizinleyici verilerinizi, Wazuh aracı bilgileri ve sunucu yapılandırmasıyla birlikte görselleştirmenize olanak tanır. 

 

 

 

 

 Resim 

 

 

 Kontroller  

 

 

 

 

 

 

 wazuh/wazuh-panosu 

 

 

 Dağıtım 

 

 

 

 

 

 

 Hizmetler 

 Wazuh indeksleyici ve gösterge paneli 

 

 

 

 

 İsim 

 

 

 Tanım 

 

 

 

 

 

 

 wazuh-indeksleyici 

 

 

 Wazuh indeksleyici düğümleri için iletişim. 

 

 

 

 

 dizinleyici 

 

 

 Bu, Wazuh panosunun uyarıları okumak/yazmak için kullandığı Wazuh dizinleyici API'sidir. 

 

 

 

 

 gösterge paneli 

 

 

 Wazuh kontrol paneli hizmeti. https://wazuh.your-domain.com:443 

 

 

 

 

 Wazuh 

 

 

 

 

 İsim 

 

 

 Tanım 

 

 

 

 

 

 

 vazuh 

 

 

 Wazuh API'si: wazuh-master.alan-adiniz.com:55000 

 

 

 

 

 Temsilci kayıt hizmeti (authd): wazuh-master.your-domain.com:1515 

 

 

 

 

 wazuh-işçiler 

 

 

 Raporlama hizmeti: wazuh-manager.your-domain.com:1514 

 

 

 

 

 wazuh-kümesi 

 

 

 Wazuh yönetici düğümleri için iletişim.

Kubernetes'e Yüklenen Wazuh'u Yükseltin
Hangi Dosyaların Birime Aktarılacağının Kontrol Edilmesi 

 Kubernetes dağıtımımız Docker'dan Wazuh görüntülerimizi kullanır. Docker kullanarak Wazuh yapılandırmasından çıkarılan aşağıdaki koda bakarsak, yükseltmede hangi dizinlerin ve dosyaların kullanıldığını görebiliriz. 

 /var/ossec/api/configuration

/var/ossec/etc

/var/ossec/logs

/var/ossec/queue

/var/ossec/var/multigroups

/var/ossec/integrations

/var/ossec/active-response/bin

/var/ossec/agentless

/var/ossec/wodles

/etc/filebeat

/var/lib/filebeat

/usr/share/wazuh-dashboard/config/

/usr/share/wazuh-dashboard/certs/

/var/lib/wazuh-indexer

/usr/share/wazuh-indexer/certs/

/usr/share/wazuh-indexer/opensearch.yml

/usr/share/wazuh-indexer/opensearch-security/internal_users.yml

 

 Bu dosyalarla ilgili herhangi bir değişiklik ilişkili birimde de yapılacaktır. Replika pod oluşturulduğunda, önceki değişiklikleri koruyarak bu dosyaları birimden alacaktır. 

 

 

 Sertifikaların Yeniden Oluşturulması 

 v4.8.0'dan önceki bir sürümden yükseltme yapmak SSL sertifikalarını yeniden oluşturmanızı gerektirir. Bunun için  SSL sertifikalarını kurun bölümündeki talimatları izleyin. 

 

 

 Yükseltmeyi Yapılandırma 

 4.9 sürümüne yükseltmek için iki stratejiden birini izleyebilirsiniz. 

 

 

 Varsayılan manifestoları kullanma  : Bu strateji Wazuh 4.9 için varsayılan manifestoları kullanır. Güncel olmayan Wazuh sürümünüzün wazuh-kubernetes manifestolarını değiştirir. 

 

 

 Özel bildirimleri tutma  : Bu strateji, güncel olmayan Wazuh dağıtımınızın wazuh-kubernetes bildirimlerini korur. En son Wazuh sürümünün bildirimlerini yok sayar. 

 

 

 

 Varsayılan Bildirimleri Kullanma 

 

 

 Wazuh-kubernetes'in güncel sürümü için etiketi inceleyin: 

 git checkout v4.9.2 

 

 

 Yeni yapılandırmayı uygula 

 

 

 

 

 Özel Beyannamelerin Tutulması 

 Wazuh 4.4'te bazı yollar önceki sürümlerdekilerden farklıdır. Özel bildirimlerinizi tutuyorsanız eski yolları yenileriyle güncellemelisiniz. 

 old-path -> new-path 

 

 

 /usr/share/wazuh-dashboard/config/certs/ -> /usr/share/wazuh-dashboard/certs/ 

 

 

 /usr/share/wazuh-indexer/config/certs/ -> /usr/share/wazuh-indexer/certs/ 

 

 

 /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/ -> /usr/share/wazuh-indexer/opensearch-security/ 

 

 

 Özel bildirimlerinizi koruyarak dağıtımınızı yükseltmek için aşağıdakileri yapın. 

 

 

 4.3'ten güncelleme yapıyorsanız, aşağıdaki dosyaları düzenleyin ve 4.4'teki yeni yollarla güncelleyin. Aşağıdaki örneklerde her dosyanın yanında yeni yolları görebilirsiniz. 

 

 

 wazuh/indexer_stack/wazuh-dashboard/dashboard-deploy.yaml 

 image: 'wazuh/wazuh-dashboard:4.9.2'

mountPath: /usr/share/wazuh-dashboard/certs/cert.pem

mountPath: /usr/share/wazuh-dashboard/certs/key.pem

mountPath: /usr/share/wazuh-dashboard/certs/root-ca.pem

value: /usr/share/wazuh-dashboard/certs/cert.pem

value: /usr/share/wazuh-dashboard/certs/key.pem 

 

 

 wazuh/indexer_stack/wazuh-dashboard/dashboard_conf/opensearch_dashboards.yml 

 server.ssl.key: "/usr/share/wazuh-dashboard/certs/key.pem"

server.ssl.certificate: "/usr/share/wazuh-dashboard/certs/cert.pem"

opensearch.ssl.certificateAuthorities: ["/usr/share/wazuh-dashboard/certs/root-ca.pem"] 

 

 

 wazuh/indexer_stack/wazuh-indexer/cluster/indexer-sts.yaml 

 image: 'wazuh/wazuh-indexer:4.9.2'

mountPath: /usr/share/wazuh-indexer/certs/node-key.pem

mountPath: /usr/share/wazuh-indexer/certs/node.pem

mountPath: /usr/share/wazuh-indexer/certs/root-ca.pem

mountPath: /usr/share/wazuh-indexer/certs/admin.pem

mountPath: /usr/share/wazuh-indexer/certs/admin-key.pem

mountPath: /usr/share/wazuh-indexer/opensearch.yml

mountPath: /usr/share/wazuh-indexer/opensearch-security/internal_users.yml

 

 

 

 wazuh/indexer_stack/wazuh-indexer/indexer_conf/opensearch.yml 

 plugins.security.ssl.http.pemcert_filepath: /usr/share/wazuh-indexer/certs/node.pem

plugins.security.ssl.http.pemkey_filepath: /usr/share/wazuh-indexer/certs/node-key.pem

plugins.security.ssl.http.pemtrustedcas_filepath: /usr/share/wazuh-indexer/certs/root-ca.pem

plugins.security.ssl.transport.pemcert_filepath: /usr/share/wazuh-indexer/certs/node.pem

plugins.security.ssl.transport.pemkey_filepath: /usr/share/wazuh-indexer/certs/node-key.pem

plugins.security.ssl.transport.pemtrustedcas_filepath: /usr/share/wazuh-indexer/certs/root-ca.pem

 

 

 

 wazuh/wazuh_managers/wazuh-master-sts.yaml 

 image: 'wazuh/wazuh-manager:4.9.2'

 

 

 

 wazuh/wazuh_managers/wazuh-worker-sts.yaml 

 image: 'wazuh/wazuh-manager:4.9.2'

 

 

 

 

 

 Yeni yapılandırmayı uygula 

 

 

 

 

 

 Yeni Yapılandırmayı Uygula 

 Son adım yeni yapılandırmayı uygulamaktır: 

 

 

 EKS kümesi 

 kubectl apply -k envs/eks/ 

 

 

 Diğer küme türleri 

 kubectl apply -k envs/local-env/ 

 

 

 

 Output 

 

 statefulset.apps "wazuh-manager-master" configured 

 Bu işlem eski pod'u sonlandırırken aynı birime bağlı yeni bir sürümle yeni bir pod yaratacaktır. Pod'lar başlatıldığında güncelleme hazır olacak ve yüklenen yeni Wazuh sürümünü, kümeyi ve birimlerin kullanımıyla korunan değişiklikleri kontrol edebiliriz.

Dağıtım
Gerekli servisleri ve pod'ları dağıtmak için bu deponun klonunu oluşturun. 

 git clone https://github.com/wazuh/wazuh-kubernetes.git -b v4.9.2 --depth=1

cd wazuh-kubernetes 

 

 

 SSL Sertifikalarını Kurun 

 Wazuh dizinleyici kümesi için kendi kendine imzalı sertifikaları adresindeki betiği kullanarak üretebilir  wazuh/certs/indexer_cluster/generate_certs.sh veya kendi betiğinizi sağlayabilirsiniz. 

 Wazuh panosu kümesi için kendi imzalı sertifikaları adresindeki betiği kullanarak üretebilir  wazuh/certs/dashboard_http/generate_certs.sh veya kendi betiğinizi sağlayabilirsiniz. 

 Gerekli sertifikalar secretGenerator aracılığıyla şu dosyaya aktarılır  kustomization.yml : 

 

 

 

 

 

 secretGenerator:

 - name: indexer-certs

 files:

 - certs/indexer_cluster/root-ca.pem

 - certs/indexer_cluster/node.pem

 - certs/indexer_cluster/node-key.pem

 - certs/indexer_cluster/dashboard.pem

 - certs/indexer_cluster/dashboard-key.pem

 - certs/indexer_cluster/admin.pem

 - certs/indexer_cluster/admin-key.pem

 - certs/indexer_cluster/filebeat.pem

 - certs/indexer_cluster/filebeat-key.pem

 - name: dashboard-certs

 files:

 - certs/dashboard_http/cert.pem

 - certs/dashboard_http/key.pem

 - certs/indexer_cluster/root-ca.pem

 

 

 

 Depolama Sınıfını Ayarlayın (EKS Olmayan Küme İçin İsteğe Bağlı) 

 Çalıştırdığınız kümenin türüne bağlı olarak, Depolama Sınıfı farklı bir sağlayıcıya sahip olabilir. 

 Sizinkini çalıştırarak kontrol edebilirsiniz . Şuna benzer bir şey göreceksiniz: kubectl   get   sc 

 kubectl get sc

NAME PROVISIONER RECLAIMPOLICY VOLUMEBINDINGMODE ALLOWVOLUMEEXPANSION AGE

elk-gp2 microk8s.io/hostpath Delete Immediate false 67d

microk8s-hostpath (default) microk8s.io/hostpath Delete Immediate false 54d 

 Provizyonlayıcı sütunu microk8s.io/hostpath'i gösteriyor, dosyayı düzenlemeli  envs/local-env/storage-class.yaml  ve bu provizyonlayıcıyı ayarlamalısınız. 

 

 

 Tüm Bildirimleri Kustomize Kullanarak Uygulayın 

 Manifest'in iki çeşidi vardır:  eks ve  local-env . EKS kümesini kullanıyorsanız eks manifest'i kullanılmalıdır, diğer küme türleri için ise local-env manifest'i kullanılmalıdır. 

 Hangi bildirimi dağıtmak istediğinize bağlı olarak, yamaları düzenleyerek küme için kaynakları ayarlamak mümkündür. Her küme nesnesinin kalıcı birimleri için CPU, bellek ve depolamayı ayarlayabilirsiniz. Bu, bu yamaları kaldırarak  envs/eks/ veya yamaların kendilerini farklı değerlerle değiştirerek geri alınabilir. envs/local-env/ kustomization.yaml 

 Özelleştirme dosyasını kullanarak kümeyi tek bir komutla dağıtabiliriz: 

 

 

 EKS kümesi 

 kubectl apply -k envs/eks/ 

 

 

 Diğer küme türleri 

 kubectl apply -k envs/local-env/ 

 

 

 

 

 Dağıtımın Doğrulanması 

 Ad alanı 

 kubectl get namespaces | grep wazuh 

 

 

 Output 

 

 

 wazuh Active 12m 

 Hizmetler 

 kubectl get services -n wazuh 

 

 

 Output 

 

 

 NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE

indexer ClusterIP xxx.yy.zzz.24 <none> 9200/TCP 12m

dashboard ClusterIP xxx.yy.zzz.76 <none> 5601/TCP 11m

wazuh LoadBalancer xxx.yy.zzz.209 internal-a7a8... 1515:32623/TCP,55000:30283/TCP 9m

wazuh-cluster ClusterIP None <none> 1516/TCP 9m

Wazuh-indexer ClusterIP None <none> 9300/TCP 12m

wazuh-workers LoadBalancer xxx.yy.zzz.26 internal-a7f9... 1514:31593/TCP 9m 

 Dağıtımlar 

 kubectl get deployments -n wazuh 

 

 

 Output 

 

 

 NAME DESIRED CURRENT UP-TO-DATE AVAILABLE AGE

wazuh-dashboard 1 1 1 1 11m 

 Durum Kümesi 

 kubectl get statefulsets -n wazuh 

 

 

 

 

 

 Output 

 

 

 NAME READY AGE

wazuh-indexer 3/3 15m

wazuh-manager-master 1/1 15m

wazuh-manager-worker 2/2 15m 

 Baklalar 

 kubectl get pods -n wazuh 

 

 

 

 

 

 Output 

 

 

 NAME READY STATUS RESTARTS AGE

wazuh-indexer-0 1/1 Running 0 15m

wazuh-dashboard-f4d9c7944-httsd 1/1 Running 0 14m

wazuh-manager-master-0 1/1 Running 0 12m

wazuh-manager-worker-0-0 1/1 Running 0 11m

wazuh-manager-worker-1-0 1/1 Running 0 11m 

 Wazuh panosuna erişim 

 Hizmetler için alan adları oluşturduysanız, önerilen alan adını kullanarak panoya erişebilmelisiniz:  https://wazuh.your-domain.com . Bulut sağlayıcıları genellikle panoya doğrudan erişim için harici bir IP adresi veya ana bilgisayar adı sağlar. Bu, hizmetleri kontrol ederek görüntülenebilir: 

 kubectl get services -o wide -n wazuh 

 

 

 

 

 

 Output 

 

 

 NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE SELECTOR

 dashboard LoadBalancer xxx.xx.xxx.xxx xxx.xx.xxx.xxx 80:31831/TCP,443:30974/TCP 15m app=wazuh-dashboard 

 İsteğe bağlı  : Harici IP adresine erişilemeyen yerel bir küme dağıtımında şunları kullanabilirsiniz  port-forward : 

 kubectl -n wazuh port-forward --address <INTERFACE_IP_ADDRESS> service/dashboard 8443:443 

 <INTERFACE_IP_ADDRESS> Kubernetes ana bilgisayarının IP adresi nerede ? 

 Wazuh kontrol paneline şu adresten ulaşabilirsiniz  https://<INTERFACE_IP_ADDRESS>:8443 : . 

 Varsayılan kimlik bilgileri şunlardır  admin:SecretPassword : . 

 

 

 Wazuh Kullanıcılarının Şifresini Değiştirin 

 Güvenliği artırmak için Wazuh kullanıcılarının varsayılan şifresini değiştirebilirsiniz. İki tür Wazuh kullanıcısı vardır: 

 

 

 Wazuh dizinleyici kullanıcıları 

 

 

 Wazuh API kullanıcıları 

 

 

 

 Wazuh Dizinleyici Kullanıcıları 

 Varsayılan admin  ve kibanaserver kullanıcıların şifrelerini değiştirmek için aşağıdakileri yapın. 

 Uyarı:  Özel kullanıcılarınız varsa, bunları internal_users.yml dosyaya ekleyin. Aksi takdirde, bu prosedürü yürütmek onları siler. 

 

 Wazuh Dashboard Oturumunuzu Kapatma 

 Şifre değiştirme işlemine başlamadan önce Wazuh kontrol paneli oturumunuzdan çıkış yapmanızı öneririz. 

 Çıkış yapmadığınız takdirde, kalıcı oturum çerezleri kullanıcı şifrelerini değiştirdikten sonra Wazuh'a erişirken hatalara neden olabilir. 

 

 

 Yeni Bir Hash Ayarlama 

 

 

 wazuh-indexer-0 'de bir Bash kabuğu başlatın. 

 kubectl exec -it wazuh-indexer-0 -n wazuh -- /bin/bash 

 

 

 Yeni parolanızın karmasını oluşturmak için bu komutları çalıştırın. İstendiğinde, yeni parolayı girin ve  Enter'a basın. 

 wazuh-indexer@wazuh-indexer-0:~$ export JAVA_HOME=/usr/share/wazuh-indexer/jdk

wazuh-indexer@wazuh-indexer-0:~$ bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/hash.sh 

 

 

 Oluşturulan hash'i kopyalayın ve Bash kabuğundan çıkın. 

 

 

 Dosyayı açın  wazuh/indexer_stack/wazuh-indexer/indexer_conf/internal_users.yml . Şifresini değiştirdiğiniz kullanıcıya ait bloğu bulun. 

 

 

 Karmayı değiştirin. 

 

 

 admin kullanıcı 

 ...

admin:

 hash: "$2y$12$K/SpwjtB.wOHJ/Nc6GVRDuc1h0rM1DfvziFRNPtk27P.c4yDr9njO"

 reserved: true

 backend_roles:

 - "admin"

 description: "Demo admin user"

...

 

 

 

 kibanaserver kullanıcı 

 ...

kibanaserver:

 hash: "$2a$12$4AcgAt3xwOWadA5s5blL6ev39OXDNhmOesEoo33eZtrq2N0YrU3H."

 reserved: true

 description: "Demo kibanaserver user"

...

 

 

 

 

 

 

 

 Yeni Şifreyi Ayarlama 

 Uyarı:  Yeni şifrenizde $ veya & karakterlerini kullanmayın . Bu karakterler dağıtım sırasında hatalara neden olabilir. 

 

 

 Yeni parolanızı base64 biçiminde kodlayın. Karma değerini korumak için son satır karakteri eklemekten kaçının. Örneğin, seçeneği  -n komutla  echo aşağıdaki gibi kullanın. 

 echo -n "NewPassword" | base64 

 

 

 Dizinleyici veya pano sırları yapılandırma dosyasını aşağıdaki gibi düzenleyin. Alanın değerini  password yeni kodlanmış parolanızla değiştirin. 

 

 

 Kullanıcı şifresini değiştirmek için dosyayı  admin düzenleyin  wazuh/secrets/indexer-cred-secret.yaml . 

 ...

apiVersion: v1

kind: Secret

metadata:

 name: indexer-cred

data:

 username: YWRtaW4= # string "admin" base64 encoded

 password: U2VjcmV0UGFzc3dvcmQ= # string "SecretPassword" base64 encoded

...

 

 

 

 Kullanıcı şifresini değiştirmek için dosyayı  kibanaserver düzenleyin  wazuh/secrets/dashboard-cred-secret.yaml . 

 ...

apiVersion: v1

kind: Secret

metadata:

 name: dashboard-cred

data:

 username: a2liYW5hc2VydmVy # string "kibanaserver" base64 encoded

 password: a2liYW5hc2VydmVy # string "kibanaserver" base64 encoded

...

 

 

 

 

 

 

 

 Değişiklikleri Uygulama 

 

 

 Bildirim değişikliklerini uygulayın 

 

 

 EKS kümesi 

 kubectl apply -k envs/eks/ 

 

 

 Diğer küme türleri 

 kubectl apply -k envs/local-env/ 

 

 

 

 

 Bir kez daha bash kabuğunu başlatın  wazuh-indexer-0 . 

 kubectl exec -it wazuh-indexer-0 -n wazuh -- /bin/bash 

 

 

 Aşağıdaki değişkenleri ayarlayın: 

 export INSTALLATION_DIR=/usr/share/wazuh-indexer

CACERT=$INSTALLATION_DIR/certs/root-ca.pem

KEY=$INSTALLATION_DIR/certs/admin-key.pem

CERT=$INSTALLATION_DIR/certs/admin.pem

export JAVA_HOME=/usr/share/wazuh-indexer/jdk

 

 

 

 Wazuh dizinleyicisinin düzgün bir şekilde başlatılmasını bekleyin. Bekleme süresi iki ila beş dakika arasında değişebilir. Kümenin boyutuna, atanan kaynaklara ve ağın hızına bağlıdır. Ardından,  securityadmin.sh tüm değişiklikleri uygulamak için scripti çalıştırın. 

 bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh -cd /usr/share/wazuh-indexer/opensearch-security/ -nhnv -cacert $CACERT -cert $CERT -key $KEY -p 9200 -icl -h $NODE_NAME 

 

 

 Bileşen kimlik bilgilerini güncellemek için tüm Wazuh yönetici bölmelerini silin. 

 kubectl delete -n wazuh pod/wazuh-manager-master-0 pod/wazuh-manager-worker-0 pod/wazuh-manager-worker-1 

 

 

 Wazuh kontrol panelinde yeni kimlik bilgilerinizle giriş yapın. 

 

 

 

 

 

 Wazuh API Kullanıcıları 

 Kullanıcı  wazuh-wui , varsayılan olarak Wazuh API'sine bağlanacak kullanıcıdır. Parolayı değiştirmek için şu adımları izleyin. 

 Not:  Wazuh API kullanıcıları için parola 8 ila 64 karakter uzunluğunda olmalıdır. En az bir büyük harf ve bir küçük harf, bir sayı ve bir sembol içermelidir. 

 

 

 Yeni parolanızı base64 biçiminde kodlayın. Karma değerini korumak için son satır karakteri eklemekten kaçının. Örneğin, seçeneği  -n komutla  echo aşağıdaki gibi kullanın. 

 echo -n "NewPassword" | base64 

 

 

 wazuh/secrets/wazuh-api-cred-secret.yaml dosyayı düzenleyin ve password alanın değerini değiştirin . 

 apiVersion: v1

kind: Secret

metadata:

 name: wazuh-api-cred

 namespace: wazuh

data:

 username: d2F6dWgtd3Vp # string "wazuh-wui" base64 encoded

 password: UGFzc3dvcmQxMjM0LmE= # string "MyS3cr37P450r.*-" base64 encoded

 

 

 

 Manifest değişikliklerini uygulayın. 

 kubectl apply -k envs/eks/ 

 

 

 Wazuh panosu ve Wazuh yöneticisi ana bilgisayarı için pod'ları yeniden başlatın. 

 

 

 

 

 

 Agentlar 

 Wazuh ajanları ana bilgisayarları izlemek için tasarlanmıştır. Bunları kullanmaya başlamak için: 

 

 

 Ajanı yükleyin  . 

 

 

 Dosyayı değiştirerek aracı kaydedin  /var/ossec/etc/ossec.conf . "Taşıma protokolünü" TCP olarak değiştirin ve 'yi  MANAGER_IP 1514 numaralı bağlantı noktasına işaret eden hizmetin harici IP adresiyle veya bulut sağlayıcısı tarafından sağlanan ana bilgisayar adıyla değiştirin 

 

 

 Acentelerin kaydedilmesi hakkında daha fazla bilgi edinmek için dokümantasyonun  Wazuh acente kaydı bölümüne bakın.

Temizlemek
Tüm dağıtımların, hizmetlerin ve birimlerin temizlenmesine yönelik adımlar. 

 

 

 Tüm kümeyi kaldır 

 

 

 Wazuh yönetici kümesinin dağıtımı, farklı  StatefulSet  öğelerinin yanı sıra yapılandırma haritaları ve hizmetlerinin kullanımını içerir. 

 Wazuh kümenizi silmek için bu depo dizininden aşağıdaki komutu çalıştırmanız yeterlidir. 

 

 

 EKS kümesi 

 kubectl delete -k envs/eks/ 

 

 

 Diğer küme türleri 

 kubectl delete -k envs/local-env/ 

 

 

 Bu, dosyada tanımlanan tüm kaynakları kaldıracaktır  kustomization.yml . 

 

 

 Kalıcı birimleri kaldırın. 

 kubectl get persistentvolume 

 

 

 

 

 

 Output 

 

 

 NAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS CLAIM STORAGECLASS REASON AGE

pvc-024466da-f7c5-11e8-b9b8-022ada63b4ac 10Gi RWO Retain Released wazuh/wazuh-manager-worker-wazuh-manager-worker-1-0 gp2-encrypted-retained 6d

pvc-b3226ad3-f7c4-11e8-b9b8-022ada63b4ac 30Gi RWO Retain Bound wazuh/wazuh-indexer-wazuh-indexer-0 gp2-encrypted-retained 6d

pvc-fb821971-f7c4-11e8-b9b8-022ada63b4ac 10Gi RWO Retain Released wazuh/wazuh-manager-master-wazuh-manager-master-0 gp2-encrypted-retained 6d

pvc-ffe7bf66-f7c4-11e8-b9b8-022ada63b4ac 10Gi RWO Retain Released wazuh/wazuh-manager-worker-wazuh-manager-worker-0-0 gp2-encrypted-retained 6d 

 kubectl delete persistentvolume pvc-b3226ad3-f7c4-11e8-b9b8-022ada63b4ac 

 Tüm Wazuh ile ilgili kalıcı birimleri silmek için kubectl delete komutunu tekrarlayın. 

 

 

 Uyarı:  Gerektiğinde birimleri manuel olarak silmeyi unutmayın.

Çevrimdışı Kurulum
İnternet bağlantısı olmasa bile Wazuh'u yükleyebilirsiniz. Çözümü çevrimdışı olarak yüklemek, Wazuh merkezi bileşenlerini indirip daha sonra İnternet bağlantısı olmayan bir sisteme yüklemeyi içerir. Wazuh sunucusu, Wazuh dizinleyicisi ve Wazuh panosu, hepsi bir arada bir dağıtımda aynı ana bilgisayara yüklenebilir ve yapılandırılabilir veya her bileşen, ortam ihtiyaçlarınıza bağlı olarak dağıtılmış bir dağıtım olarak ayrı bir ana bilgisayara yüklenebilir.

Yardımcıyı Kullanarak Wazuh Bileşenlerini Yükleyin
Wazuh kurulum asistanının yardımıyla farklı Wazuh bileşenlerini kurun ve yapılandırın. 

 Not:  Aşağıda açıklanan tüm komutları çalıştırabilmek için root kullanıcı ayrıcalıklarına sahip olmanız gerekir. 

 Lütfen ilk yapılandırma adımında oluşturulan  wazuh-install-files.tar ve  wazuh-offline.tar.gz dosyalarının bir kopyasının çalışma dizininize yerleştirildiğinden emin olun. 

 

 Wazuh Indexer Yükleme 

 Wazuh dizinleyici düğümlerini kurun ve yapılandırın. 

 

 

 

 

 RPM 

 

 

 

 Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir. 

 

 

 

 

 

 

 coreutils 

 

 

 

 

 

 

 DEB 

 

 

 

 Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir. 

 

 

 

 

 

 

 debconf 

 

 

 adduser 

 

 

 procps 

 

 

 

 

 

 

 

 

 Çevrimdışı bir kurulum gerçekleştirmek için asistanı ile çalıştırın --offline-installation . Wazuh dizinleyicisini kurmak ve yapılandırmak için seçeneği  --wazuh-indexer ve düğüm adını kullanın. Düğüm adı, ilk yapılandırma için kullanılanla aynı olmalıdır  config.yml , örneğin,  node-1 . 

 bash wazuh-install.sh --offline-installation --wazuh-indexer node-1 

 Bu adımı kümenizdeki her Wazuh dizinleyici düğümü için tekrarlayın. Ardından bir sonraki adımda tek düğümlü veya çok düğümlü kümenizi başlatmaya devam edin. 

 

 

 --start-cluster Yeni sertifika bilgilerini yüklemek ve kümeyi başlatmak için herhangi bir Wazuh dizinleyici düğümünde Wazuh kurulum yardımcısını seçeneğiyle çalıştırın. 

 bash wazuh-install.sh --offline-installation --start-cluster 

 Not:   Kümeyi yalnızca bir kez başlatmanız yeterlidir , bu komutu her düğümde çalıştırmanıza gerek yoktur. 

 

 

 

 

 Küme Kurulumunu Test Etme 

 

 

 Yönetici  parolasını almak için aşağıdaki komutu çalıştırın : 

 tar -axf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt -O | grep -P "\'admin\'" -A 1 

 

 

 Kurulumun başarılı olduğunu doğrulamak için aşağıdaki komutu çalıştırın.  <ADMIN_PASSWORD> Önceki komutun çıktısından alınan parola ile değiştirin.  <WAZUH_INDEXER_IP> Yapılandırılmış Wazuh dizinleyici IP adresi ile değiştirin: 

 curl -k -u admin:<ADMIN_PASSWORD> https://<WAZUH_INDEXER_IP>:9200 

 

 Output 

 

 {

 "name" : "node-1",

 "cluster_name" : "wazuh-cluster",

 "cluster_uuid" : "095jEW-oRJSFKLz5wmo5PA",

 "version" : {

 "number" : "7.10.2",

 "build_type" : "rpm",

 "build_hash" : "db90a415ff2fd428b4f7b3f800a51dc229287cb4",

 "build_date" : "2023-06-03T06:24:25.112415503Z",

 "build_snapshot" : false,

 "lucene_version" : "9.6.0",

 "minimum_wire_compatibility_version" : "7.10.0",

 "minimum_index_compatibility_version" : "7.0.0"

 },

 "tagline" : "The OpenSearch Project: https://opensearch.org/"

}

 

 

 

 <WAZUH_INDEXER_IP> ve ile değiştirin  <ADMIN_PASSWORD> ve kümenin düzgün çalışıp çalışmadığını kontrol etmek için aşağıdaki komutu çalıştırın: 

 

 curl -k -u admin:<ADMIN_PASSWORD> https://<WAZUH_INDEXER_IP>:9200/_cat/nodes?v 

 

 

 

 

 Wazuh Sunucusunun Kurulumu 

 DEB 

 

 

 

 Paket yöneticisi olarak apt kullanılan sistemlerde Wazuh sunucu düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekmektedir. 

 

 

 

 

 

 

 gnupg 

 

 

 apt-transport-https 

 

 

 

 

 

 

 

 

 

 

 Çevrimdışı bir kurulum gerçekleştirmek için asistanı ile çalıştırın  --offline-installation . Wazuh sunucusunu kurmak için düğüm adının ardından gelen seçeneği kullanın  --wazuh-server . Düğüm adı, ilk yapılandırma için kullanılanla aynı olmalıdır  config.yml , örneğin,  wazuh-1 . 

 bash wazuh-install.sh --offline-installation --wazuh-server wazuh-1 

 

 

 Wazuh sunucunuz artık başarıyla kuruldu. 

 

 

 Eğer bir Wazuh sunucusu çok düğümlü kümesi istiyorsanız, bu adımı her Wazuh sunucusu düğümünde tekrarlayın. 

 

 

 Eğer Wazuh sunucusunda tek node kümesi istiyorsanız her şey hazır ve doğrudan bir sonraki aşamaya geçebilirsiniz. 

 

 

 

 

 Wazuh Dashboard Kurulumu 

 RPM Wazuh panosu düğümüne aşağıdaki bağımlılıkların yüklenmesi gerekir. 

 

 

 

 

 libcap 

 

 

 

 

 

 DEB Wazuh panosu düğümüne aşağıdaki bağımlılıkların yüklenmesi gerekir. 

 

 

 

 

 

 

 

 debhelper sürüm 9 veya üzeri 

 

 

 tar 

 

 

 curl 

 

 

 libcap2-bin 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Çevrimdışı bir kurulum gerçekleştirmek için asistanı ile çalıştırın  --offline-installation . Wazuh panosunu kurmak ve yapılandırmak için seçeneği  --wazuh-dashboard ve düğüm adını kullanın. Düğüm adı, ilk yapılandırma için kullanılanla aynı olmalıdır  config.yml , örneğin,  dashboard . 

 bash wazuh-install.sh --offline-installation --wazuh-dashboard dashboard 

 Varsayılan Wazuh web kullanıcı arayüzü portu, Wazuh panosu tarafından kullanılan 443'tür. Bu portu isteğe bağlı parametreyi kullanarak değiştirebilirsiniz . Önerilen bazı portlar 8443, 8444, 8080, 8888 ve 9000'dir. -p|--port   <port_number> 

 Yardımcı kurulumu tamamladığında, çıktı erişim kimlik bilgilerini ve kurulumun başarılı olduğunu doğrulayan bir mesajı gösterir. 

 INFO: --- Summary ---

INFO: You can access the web interface https://<wazuh-dashboard-ip>

 User: admin

 Password: <ADMIN_PASSWORD>

INFO: Installation finished. 

 wazuh-passwords.txt Artık Wazuh'u kurdunuz ve yapılandırdınız. Wazuh kurulum asistanı tarafından oluşturulan tüm parolalar arşivin içindeki dosyada bulunabilir  wazuh-install-files.tar . Bunları yazdırmak için aşağıdaki komutu çalıştırın: 

 tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt 

 

 

 Kimlik bilgilerinizle Wazuh web arayüzüne erişin. 

 

 

 URL:  https://<wazuh-dashboard-ip> 

 

 

 Kullanıcı adı  :  admin 

 

 

 Şifre  :  <ADMIN_PASSWORD> 

 

 

 Wazuh panosuna ilk kez eriştiğinizde, tarayıcı sertifikanın güvenilir bir otorite tarafından verilmediğini belirten bir uyarı mesajı gösterir. Web tarayıcısının gelişmiş seçeneklerine bir istisna eklenebilir. Daha fazla güvenlik için,  root-ca.pem daha önce oluşturulan dosya bunun yerine tarayıcının sertifika yöneticisine aktarılabilir. Alternatif olarak, güvenilir bir otoritenin sertifikası yapılandırılabilir.

Wazuh Bileşenlerini Adım Adım Yükleyin
wazuh-offline.tar.gz ve dosyalarını yerleştirdiğiniz çalışma dizininde  wazuh-install-files.tar , kurulum dosyalarını açmak için aşağıdaki komutu çalıştırın.

 

 tar xf wazuh-offline.tar.gz

tar xf wazuh-install-files.tar 

 Sıkıştırılmış paket dosyalarının SHA512'sini . adresinden kontrol edebilirsiniz  wazuh-offline/wazuh-packages/ . SHA512 toplam kontrol değerlerini  Paketler listesinde bulabilirsiniz. 

 

 

 

 Wazuh Indexer Yükleme 

 

 

 

 

 RPM Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir. 

 

 

 

 coreutils 

 

 

 

 DEB Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir. 

 

 

 

 

 debconf 

 

 

 adduser 

 

 

 procps 

 

 

 

 

 

 

 Wazuh indeksleyicisini yüklemek için aşağıdaki komutları çalıştırın. RPM 

 rpm --import ./wazuh-offline/wazuh-files/GPG-KEY-WAZUH

rpm -ivh ./wazuh-offline/wazuh-packages/wazuh-indexer*.rpm 

 DEB 

 

 

 

 dpkg -i ./wazuh-offline/wazuh-packages/wazuh-indexer*.deb 

 

 

 

 

 

 

 

 

 

 Aşağıdaki komutları,  <indexer-node-name> yapılandırdığınız Wazuh dizinleyici düğümünün adını 'de tanımlandığı gibi değiştirerek çalıştırın  config.yml . Örneğin,  node-1 . Bu, Wazuh merkezi bileşenleri arasındaki iletişimleri şifrelemek için SSL sertifikalarını dağıtır. 

 NODE_NAME=<indexer-node-name> 

 mkdir /etc/wazuh-indexer/certs

mv -n wazuh-install-files/$NODE_NAME.pem /etc/wazuh-indexer/certs/indexer.pem

mv -n wazuh-install-files/$NODE_NAME-key.pem /etc/wazuh-indexer/certs/indexer-key.pem

mv wazuh-install-files/admin-key.pem /etc/wazuh-indexer/certs/

mv wazuh-install-files/admin.pem /etc/wazuh-indexer/certs/

cp wazuh-install-files/root-ca.pem /etc/wazuh-indexer/certs/

chmod 500 /etc/wazuh-indexer/certs

chmod 400 /etc/wazuh-indexer/certs/*

chown -R wazuh-indexer:wazuh-indexer /etc/wazuh-indexer/certs 

 Burada node-1.pem  ve  node-1-key.pem  gibi düğüm sertifikasını ve anahtar dosyalarını ilgili  certs  klasörüne taşırsınız. Bunlar düğüme özgüdür ve diğer düğümlerde gerekli değildir. Ancak,  root-ca.pem  sertifikasının taşınmadığını,  certs  klasörüne kopyalandığını unutmayın. Bu şekilde, sonraki adımlarda diğer bileşen klasörlerine dağıtmaya devam edebilirsiniz. 

 

 

 /etc/wazuh-indexer/opensearch.yml Aşağıdaki değerleri düzenleyin ve değiştirin: 

 

 

 network.host : Bu düğümün adresini hem HTTP hem de taşıma trafiği için ayarlar. Düğüm bu adrese bağlanacak ve ayrıca bunu yayın adresi olarak kullanacaktır. Bir IP adresi veya ana bilgisayar adını kabul eder. 

 config.yml SSL sertifikalarını oluşturmak için ayarlanan aynı düğüm adresini kullanın . 

 

 

 node.name : Dosyada tanımlandığı gibi Wazuh dizinleyici düğümünün adı  config.yml . Örneğin,  node-1 . 

 

 

 cluster.initial_master_nodes : Ana-uygun düğümlerin adlarının listesi. Bu adlar dosyada tanımlanmıştır  config.yml .  node-2 ve  node-3 satırlarının yorumunu kaldırın, adları değiştirin veya tanımlarınıza göre daha fazla satır ekleyin  config.yml . 

 cluster.initial_master_nodes:

- "node-1"

- "node-2"

- "node-3"

 

 

 

 discovery.seed_hosts: Ana uygun düğümlerin adreslerinin listesi. Her bir öğe bir IP adresi veya bir ana bilgisayar adı olabilir. Wazuh dizinleyicisini tek düğüm olarak yapılandırıyorsanız bu ayarı yorumlanmış olarak bırakabilirsiniz. Çok düğümlü yapılandırmalar için bu ayarın yorumunu kaldırın ve ana uygun düğümlerinizin adreslerini ayarlayın. 

 discovery.seed_hosts:

 - "10.0.0.1"

 - "10.0.0.2"

 - "10.0.0.3"

 

 

 

 plugins.security.nodes_dn : Tüm Wazuh dizinleyici küme düğümlerinin sertifikalarının Ayrıcalıklı Adlarının listesi. ve satırlarının yorumunu kaldırın  node-2 ve  node-3 ortak adları (CN) ve değerleri ayarlarınıza ve  config.yml tanımlarınıza göre değiştirin. 

 plugins.security.nodes_dn:

- "CN=node-1,OU=Wazuh,O=Wazuh,L=California,C=US"

- "CN=node-2,OU=Wazuh,O=Wazuh,L=California,C=US"

- "CN=node-3,OU=Wazuh,O=Wazuh,L=California,C=US"

 

 

 

 

 

 4. Wazuh dizinleyici hizmetini etkinleştirin ve başlatın. 

 

 

 Systemd 

 systemctl daemon-reload

systemctl enable wazuh-manager

systemctl start wazuh-manager 

 SysV Başlatma 

 Kullanılan işletim sistemine göre bir seçenek seçin. 

 

  RPM tabanlı işletim sistemi: 

 

 chkconfig --add wazuh-indexer

service wazuh-indexer start 

 

 Debian tabanlı işletim sistemi:  

 

 

 

 

 update-rc.d wazuh-indexer defaults 95 10

service wazuh-indexer start 

 

 

 

 

 

 5. Çok düğümlü kümeler için, önceki adımları her Wazuh dizinleyici düğümünde tekrarlayın. 

 6. Tüm Wazuh dizinleyici düğümleri çalıştığında, yeni sertifika bilgilerini yüklemek ve kümeyi başlatmak için  herhangi bir Wazuh dizinleyici indexer-security-init.sh  düğümünde Wazuh dizinleyici betiğini çalıştırın. 

 /usr/share/wazuh-indexer/bin/indexer-security-init.sh 

 7. Kurulumun başarılı olup olmadığını kontrol etmek için aşağıdaki komutu çalıştırın. Bu komutun kullandığını unutmayın  127.0.0.1 , gerekirse Wazuh dizinleyici adresinizi ayarlayın. 

 curl -XGET https://127.0.0.1:9200 -u admin:admin -k 

 Örnek yanıtı görmek için çıktıya göz atın. 

 

 Output 

 

 {

 "name" : "node-1",

 "cluster_name" : "wazuh-cluster",

 "cluster_uuid" : "095jEW-oRJSFKLz5wmo5PA",

 "version" : {

 "number" : "7.10.2",

 "build_type" : "rpm",

 "build_hash" : "db90a415ff2fd428b4f7b3f800a51dc229287cb4",

 "build_date" : "2023-06-03T06:24:25.112415503Z",

 "build_snapshot" : false,

 "lucene_version" : "9.6.0",

 "minimum_wire_compatibility_version" : "7.10.0",

 "minimum_index_compatibility_version" : "7.0.0"

 },

 "tagline" : "The OpenSearch Project: https://opensearch.org/"

}

 

 

 

 Wazuh Sunucusunun Kurulumu 

 DEB Paket yöneticisi olarak apt kullanılan sistemlerde Wazuh sunucu düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekmektedir. 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 gnupg 

 

 

 apt-transport-https 

 

 

 

 

 

 

 

 

 

 

 Wazuh anahtarını içe aktarmak ve Wazuh yöneticisini yüklemek için aşağıdaki komutları çalıştırın. RPM 

 rpm --import ./wazuh-offline/wazuh-files/GPG-KEY-WAZUH

rpm -ivh ./wazuh-offline/wazuh-packages/wazuh-manager*.rpm 

 DEB 

 

 

 

 dpkg -i ./wazuh-offline/wazuh-packages/wazuh-manager*.deb 

 

 

 

 

 

 Wazuh dizinleyici kullanıcı adını ve parolasını wazuh-keystore aracını kullanarak Wazuh yöneticisi anahtar deposuna kaydedin: 

 echo '<INDEXER_USERNAME>' | /var/ossec/bin/wazuh-keystore -f indexer -k username

echo '<INDEXER_PASSWORD>' | /var/ossec/bin/wazuh-keystore -f indexer -k password 

 Not:  Varsayılan çevrimdışı kurulum kimlik bilgileri şunlardır  admin : admin 

   

 

 

 

 Wazuh yönetici servisini etkinleştirin ve başlatın. 

 Systemd 

 systemctl daemon-reload

systemctl enable wazuh-manager

systemctl start wazuh-manager 

 SysV Başlatma 

 Kullanılan işletim sistemine göre bir seçenek seçin. 

 

  RPM tabanlı işletim sistemi: 

 

 chkconfig --add wazuh-indexer

service wazuh-indexer start 

 

 Debian tabanlı işletim sistemi:  

 

 

 

 

 update-rc.d wazuh-indexer defaults 95 10

service wazuh-indexer start 

 

 

 

 

 

 

 

 

 

 

 

 

 Wazuh yöneticisi durumunun etkin olduğunu doğrulamak için aşağıdaki komutu çalıştırın. Systemd 

 

 # systemctl status wazuh-manager 

 

 SysV Başlatma 

 service wazuh-manager status 

 

 

 

 Filebeat'i Yükleme 

 Filebeat, Wazuh yöneticisinin kurulu olduğu sunucuda kurulu ve yapılandırılmış olmalıdır. 

 

 

 Filebeat'i yüklemek için aşağıdaki komutu çalıştırın. 

 

 

 

 RPM 

 

 

 

 rpm -ivh ./wazuh-offline/wazuh-packages/filebeat*.rpm 

 

 

 

 

 

 

 

 DEB 

 dpkg -i ./wazuh-offline/wazuh-packages/filebeat*.deb 

 

 

 

 

 

 Yapılandırma dosyalarının bir kopyasını uygun konuma taşıyın. Üzerine yazmak için istemde "evet" yazdığınızdan emin olun  /etc/filebeat/filebeat.yml . 

 cp ./wazuh-offline/wazuh-files/filebeat.yml /etc/filebeat/ &&\

cp ./wazuh-offline/wazuh-files/wazuh-template.json /etc/filebeat/ &&\

chmod go+r /etc/filebeat/wazuh-template.json 

 

 

 Yapılandırma dosyasını düzenleyin  /etc/filebeat/filebeat.yml ve aşağıdaki değeri değiştirin: 

 

 

 hosts : Bağlanılacak Wazuh dizinleyici düğümlerinin listesi. IP adreslerini veya ana bilgisayar adlarını kullanabilirsiniz. Varsayılan olarak, ana bilgisayar localhost olarak ayarlanmıştır . Bunu uygun şekilde Wazuh dizinleyici adresinizle değiştirin. hosts:   ["127.0.0.1:9200"] 

 Birden fazla Wazuh dizinleyici düğümünüz varsa, adresleri virgül kullanarak ayırabilirsiniz. Örneğin, hosts:   ["10.0.0.1:9200",   "10.0.0.2:9200",   "10.0.0.3:9200"] 

 # Wazuh - Filebeat configuration file

 output.elasticsearch:

 hosts: ["10.0.0.1:9200"]

 protocol: https

 username: ${username}

 password: ${password}

 

 

 

 

 

 Kimlik doğrulama bilgilerini güvenli bir şekilde depolamak için bir Filebeat anahtar deposu oluşturun. 

 filebeat keystore create 

 

 

 Kullanıcı adı ve şifreyi  admin :  admin gizli anahtar deposuna ekleyin. 

 echo admin | filebeat keystore add username --stdin --force

echo admin | filebeat keystore add password --stdin --force 

 

 

 Filebeat için Wazuh modülünü yükleyin. 

 tar -xzf ./wazuh-offline/wazuh-files/wazuh-filebeat-0.4.tar.gz -C /usr/share/filebeat/module 

 

 

 <SERVER_NODE_NAME> Wazuh sunucu düğüm sertifika adınızla değiştirin ,  config.yml sertifikaları oluştururken kullanılanla aynı. Örneğin,  wazuh-1 . Ardından, sertifikaları karşılık gelen konumlarına taşıyın. 

 NODE_NAME=<SERVER_NODE_NAME> 

 mkdir /etc/filebeat/certs

mv -n wazuh-install-files/$NODE_NAME.pem /etc/filebeat/certs/filebeat.pem

mv -n wazuh-install-files/$NODE_NAME-key.pem /etc/filebeat/certs/filebeat-key.pem

cp wazuh-install-files/root-ca.pem /etc/filebeat/certs/

chmod 500 /etc/filebeat/certs

chmod 400 /etc/filebeat/certs/*

chown -R root:root /etc/filebeat/certs 

 

 

 Filebeat servisini etkinleştirin ve başlatın. Systemd 

 systemctl daemon-reload

systemctl enable filebeat

systemctl start filebeat 

 SysV Başlatma  

 Kullanılan işletim sistemine göre bir seçenek seçin. 

 

 

 

 

 RPM tabanlı işletim sistemi: 

 

 

 

 

 chkconfig --add filebeat

service filebeat start 

 

 

 

 

 Debian tabanlı işletim sistemi: 

 

 

 

 

 update-rc.d filebeat defaults 95 10

service filebeat start 

 

 

 

 

 

 Filebeat'in başarıyla yüklendiğinden emin olmak için aşağıdaki komutu çalıştırın. 

 filebeat test output 

 Örnek yanıtı görmek için çıktıyı genişletin. 

 Output 

 elasticsearch: https://127.0.0.1:9200...

 parse url... OK

 connection...

 parse host... OK

 dns lookup... OK

 addresses: 127.0.0.1

 dial up... OK

 TLS...

 security: server's certificate chain verification is enabled

 handshake... OK

 TLS version: TLSv1.3

 dial up... OK

 talk to server... OK

 version: 7.10.2 

 

 

 Wazuh sunucu düğümünüz artık başarıyla kuruldu. Kümenizdeki her Wazuh sunucu düğümü için bu kurulum süreci aşamasının adımlarını tekrarlayın, aşağıdaki  çoklu düğüm dağıtımı için Wazuh küme yapılandırmasını  genişletin ve ardından Wazuh kümesini yapılandırmaya devam edin. Wazuh sunucu tek düğümlü bir küme istiyorsanız, her şey ayarlanmıştır ve doğrudan Wazuh panosu kurulumuna geçebilirsiniz. 

 

 

 Çoklu Düğüm Dağıtımı İçin Wazuh Küme Yapılandırması 

 

 

 NAME TYPE VERSION ADDRESS

 master-node master 4.9.2 10.0.0.3

 worker-node1 worker 4.9.2 10.0.0.4

 worker-node2 worker 4.9.2 10.0.0.5

 

 

 Wazuh sunucusunun her node'a kurulumunu tamamladıktan sonra, yalnızca bir sunucu node'unu master olarak, geri kalanını ise workers olarak yapılandırmanız gerekiyor. 

 

 Wazuh sunucu ana düğümünü yapılandırma 

 

 

 

 Yapılandırma dosyasında aşağıdaki ayarları düzenleyin  /var/ossec/etc/ossec.conf . 

 <cluster>

 <name>wazuh</name>

 <node_name>master-node</node_name>

 <node_type>master</node_type>

 <key>c98b62a9b6169ac5f67dae55ae4a9088</key>

 <port>1516</port>

 <bind_addr>0.0.0.0</bind_addr>

 <nodes>

 <node>WAZUH-MASTER-ADDRESS</node>

 </nodes>

 <hidden>no</hidden>

 <disabled>no</disabled>

</cluster>

 

 Yapılandırılacak parametreler: 

 

 

 

 

 

 isim 

 

 

 Kümenin adını belirtir. 

 

 

 

 

 düğüm_adı 

 

 

 Mevcut düğümün adını belirtir. 

 

 

 

 

 düğüm_türü 

 

 

 Düğümün rolünü belirtir. Olarak ayarlanması gerekir  master . 

 

 

 

 

 anahtar 

 

 

 Küme düğümleri arasındaki iletişimi şifrelemek için kullanılan anahtar. Anahtar 32 karakter uzunluğunda olmalı ve kümedeki tüm düğümler için aynı olmalıdır. Aşağıdaki komut rastgele bir anahtar oluşturmak için kullanılabilir: . openssl   rand   -hex   16 

 

 

 

 

 liman 

 

 

 Küme iletişimi için hedef portunu belirtir. 

 

 

 

 

 bağ_adresi 

 

 

 Düğümün gelen istekleri dinlemek için bağlandığı ağ IP'sidir (herhangi bir IP için 0.0.0.0). 

 

 

 

 

 düğümler 

 

 

 Bu, adresidir ve bir IP veya DNS olabilir. Bu parametre, ana bilgisayarın kendisi de dahil olmak üzere tüm düğümlerde belirtilmelidir. master   node 

 

 

 

 

 gizlenmiş 

 

 

 Oluşturulan uyarılarda küme bilgilerinin gösterilmesini veya gizlenmesini sağlar. 

 

 

 

 

 engelli 

 

 

 Düğümün kümede etkin mi yoksa devre dışı mı olduğunu gösterir. Bu seçenek olarak ayarlanmalıdır  no . 

 

 

 

 

 

 

 

 Wazuh yöneticisini yeniden başlatın. Systemd 

 systemctl restart wazuh-manager 

 SysV Başlatma 

 service wazuh-manager restart 

 

 

 

 

 

 Wazuh Sunucusu Çalışan Düğümlerini Yapılandırma 

 

 

 

 Dosyadaki aşağıdaki ayarları düzenleyerek küme düğümünü yapılandırın  /var/ossec/etc/ossec.conf . 

 <cluster>

 <name>wazuh</name>

 <node_name>worker-node</node_name>

 <node_type>worker</node_type>

 <key>c98b62a9b6169ac5f67dae55ae4a9088</key>

 <port>1516</port>

 <bind_addr>0.0.0.0</bind_addr>

 <nodes>

 <node>WAZUH-MASTER-ADDRESS</node>

 </nodes>

 <hidden>no</hidden>

 <disabled>no</disabled>

</cluster>

 

 Yapılandırılacak parametreler: 

 

 

 

 

 isim 

 

 

 Kümenin adını belirtir. 

 

 

 

 

 düğüm_adı 

 

 

 Geçerli düğümün adını belirtir. Kümenin her düğümünün benzersiz bir adı olmalıdır. 

 

 

 

 

 düğüm_türü 

 

 

 Düğümün rolünü belirtir. Olarak ayarlanması gerekir  worker . 

 

 

 

 

 anahtar 

 

 

 Düğüm için daha önce oluşturulan anahtar  master . Tüm düğümler için aynı olması gerekir. 

 

 

 

 

 düğümler 

 

 

 Adresini içermesi gerekir ve bir IP veya DNS olabilir. master   node 

 

 

 

 

 engelli 

 

 

 Düğümün kümede etkin mi yoksa devre dışı mı olduğunu gösterir. olarak ayarlanması gerekir  no . 

 

 

 

 

 

 

 Wazuh yöneticisini yeniden başlatın. Systemd 

 systemctl restart wazuh-manager 

 SysV Başlatma 

 systemctl restart wazuh-manager 

 

 

 

 Kümenizdeki her Wazuh sunucu çalışan düğümü için bu yapılandırma adımlarını tekrarlayın. 

 

 

 Wazuh sunucu kümesini test etme 

 Wazuh kümesinin etkinleştirildiğini ve tüm düğümlerin bağlı olduğunu doğrulamak için aşağıdaki komutu yürütün: 

 /var/ossec/bin/cluster_control -l 

 Komutun örnek çıktısı aşağıdaki gibidir: 

 

 

 Output 

 

 

 10.0.0.3 ,  10.0.0.4 , örnek  10.0.0.5 IP'lerdir. 

 Wazuh Dashboard Kurulumu 

 

 

 RPM Wazuh panosu düğümüne aşağıdaki bağımlılıkların yüklenmesi gerekir. 

 

 

 

 

 libcap 

 

 

 

 

 DEB Wazuh panosu düğümüne aşağıdaki bağımlılıkların yüklenmesi gerekir. 

 

 

 

 

 

 debhelper sürüm 9 veya üzeri 

 

 

 tar 

 

 

 curl 

 

 

 libcap2-bin 

 

 

 

 

 

 

 

 

 Wazuh panosunu yüklemek için aşağıdaki komutları çalıştırın. 

 

 RPM 

 

 rpm --import ./wazuh-offline/wazuh-files/GPG-KEY-WAZUH

rpm -ivh ./wazuh-offline/wazuh-packages/wazuh-dashboard*.rpm 

 

 

 

 

 

 

 

 

 DEB 

 

 

 

 

 dpkg -i ./wazuh-offline/wazuh-packages/wazuh-dashboard*.deb 

 

 

 

 

 

 

 

 

 

 <DASHBOARD_NODE_NAME>> Wazuh panonuzun düğüm adıyla değiştirin ,  config.yml sertifikaları oluşturmak için kullanılanla aynı. Örneğin,  dashboard . Ardından, sertifikaları karşılık gelen konumlarına taşıyın. 

 NODE_NAME=<DASHBOARD_NODE_NAME>> 

 mkdir /etc/wazuh-dashboard/certs

mv -n wazuh-install-files/$NODE_NAME.pem /etc/wazuh-dashboard/certs/dashboard.pem

mv -n wazuh-install-files/$NODE_NAME-key.pem /etc/wazuh-dashboard/certs/dashboard-key.pem

cp wazuh-install-files/root-ca.pem /etc/wazuh-dashboard/certs/

chmod 500 /etc/wazuh-dashboard/certs

chmod 400 /etc/wazuh-dashboard/certs/*

chown -R wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs 

 

 

 Dosyayı düzenleyin  /etc/wazuh-dashboard/opensearch_dashboards.yml ve aşağıdaki değerleri değiştirin: 

 

 

 server.host : Bu ayar, arka uç sunucusunun ana bilgisayarını belirtir. Uzak kullanıcıların bağlanmasına izin vermek için, değeri Wazuh panosunun IP adresine veya DNS adına ayarlayın. Değer,  0.0.0.0 ana bilgisayarın tüm kullanılabilir IP adreslerini kabul edecektir. 

 

 

 opensearch.hosts : Tüm sorgularınız için kullanılacak Wazuh dizinleyici örneklerinin URL'leri. Wazuh panosu, aynı kümedeki birden fazla Wazuh dizinleyici düğümüne bağlanacak şekilde yapılandırılabilir. Düğümlerin adresleri virgülle ayrılabilir. Örneğin,  ["https://10.0.0.2:9200",   "https://10.0.0.3:9200","https://10.0.0.4:9200"] 

 server.host: 0.0.0.0

 server.port: 443

 opensearch.hosts: https://127.0.0.1:9200

 opensearch.ssl.verificationMode: certificate

 

 

 

 

 

 Wazuh panosunu etkinleştirin ve başlatın. Systemd 

 systemctl daemon-reload

systemctl enable wazuh-dashboard

systemctl start wazuh-dashboard 

   

 SysV Başlatma 

 İşletim sisteminize göre bir seçenek seçin: 

 

 

 RPM tabanlı işletim sistemi: 

 chkconfig --add wazuh-dashboard

service wazuh-dashboard start 

 

 

 

 Debian tabanlı işletim sistemi: 

 

 

 update-rc.d wazuh-dashboard defaults 95 10

service wazuh-dashboard start 

 

 

 

 

 

 

 

 

 

 Dosyayı düzenleyin  /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml ve  url değeri Wazuh sunucusu ana düğümünün IP adresi veya ana bilgisayar adıyla değiştirin. 

 hosts:

 - default:

 url: https://<WAZUH_SERVER_IP_ADDRESS>

 port: 55000

 username: wazuh-wui

 password: wazuh-wui

 run_as: false

 

 

 

 Wazuh panosu hizmetinin etkin olduğunu doğrulamak için aşağıdaki komutu çalıştırın. Systemd 

 systemctl status wazuh-dashboard 

 SysV Başlatma 

 service wazuh-dashboard status 

 

 

 

 

 

 

 

 

 

 Web arayüzüne erişin. 

 

 

 URL:  https://<WAZUH_DASHBOARD_IP_ADRESİ> 

 

 

 Kullanıcı adı  : admin 

 

 

 Şifre  : admin 

 

 

 

 

 Wazuh panosuna ilk erişimde, tarayıcı sertifikanın güvenilir bir otorite tarafından verilmediğini belirten bir uyarı mesajı gösterir. Web tarayıcısının gelişmiş seçeneklerinde bir istisna eklenebilir veya daha fazla güvenlik için  root-ca.pem daha önce oluşturulan dosya tarayıcının sertifika yöneticisine aktarılabilir. Alternatif olarak, güvenilir bir otoritenin sertifikası yapılandırılabilir. 

 

 Wazuh Kurulumunuzun Güvenliğini Sağlama 

 Artık tüm Wazuh merkezi bileşenlerini yüklediniz ve yapılandırdınız. Altyapınızı olası saldırılardan korumak için varsayılan kimlik bilgilerini değiştirmenizi öneririz. 

 Dağıtım türünüzü seçin ve hem Wazuh API'si hem de Wazuh dizinleyici kullanıcıları için varsayılan parolaları değiştirmek üzere talimatları izleyin.   

 Hepsi Bir Arada Dağıtım 

 

 

 

 

 

 

 

 

 Tüm dahili kullanıcılarınızın şifrelerini değiştirmek için Wazuh şifre aracını kullanın. 

 /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh --api --change-all --admin-user wazuh --admin-password wazuh 

 

 Output 

 

 

 INFO: The password for user admin is yWOzmNA.?Aoc+rQfDBcF71KZp?1xd7IO

INFO: The password for user kibanaserver is nUa+66zY.eDF*2rRl5GKdgLxvgYQA+wo

INFO: The password for user kibanaro is 0jHq.4i*VAgclnqFiXvZ5gtQq1D5LCcL

INFO: The password for user logstash is hWW6U45rPoCT?oR.r.Baw2qaWz2iH8Ml

INFO: The password for user readall is PNt5K+FpKDMO2TlxJ6Opb2D0mYl*I7FQ

INFO: The password for user snapshotrestore is +GGz2noZZr2qVUK7xbtqjUup049tvLq.

WARNING: Wazuh indexer passwords changed. Remember to update the password in the Wazuh dashboard and Filebeat nodes if necessary, and restart the services.

INFO: The password for Wazuh API user wazuh is JYWz5Zdb3Yq+uOzOPyUU4oat0n60VmWI

INFO: The password for Wazuh API user wazuh-wui is +fLddaCiZePxh24*?jC0nyNmgMGCKE+2

INFO: Updated wazuh-wui user password in wazuh dashboard. Remember to restart the service.

 

 

 

 

 

 

 

 Dağıtılmış Dağıtım 

 

 

 

 

 Herhangi bir Wazuh dizinleyici  düğümünde , Wazuh dizinleyici kullanıcılarının parolalarını değiştirmek için Wazuh parolaları aracını kullanın. 

 /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh --change-all 

 

 Output 

 

 INFO: Wazuh API admin credentials not provided, Wazuh API passwords not changed.

INFO: The password for user admin is wcAny.XUwOVWHFy.+7tW9l8gUW1L8N3j

INFO: The password for user kibanaserver is qy6fBrNOI4fD9yR9.Oj03?pihN6Ejfpp

INFO: The password for user kibanaro is Nj*sSXSxwntrx3O7m8ehrgdHkxCc0dna

INFO: The password for user logstash is nQg1Qw0nIQFZXUJc8r8+zHVrkelch33h

INFO: The password for user readall is s0iWAei?RXObSDdibBfzSgXdhZCD9kH4

INFO: The password for user snapshotrestore is Mb2EHw8SIc1d.oz.nM?dHiPBGk7s?UZB

WARNING: Wazuh indexer passwords changed. Remember to update the password in the Wazuh dashboard and Filebeat nodes if necessary, and restart the services.

 

 

 

 Wazuh sunucunuzun  ana  düğümünde , yönetici kullanıcılarının varsayılan parolasını değiştirin:  wazuh  ve  wazuh-wui  . Aşağıdaki komutların 127.0.0.1 kullandığını unutmayın, gerekirse Wazuh yöneticinizin IP adresini ayarlayın. 

 

 

 Yetkilendirme TOKEN'ı alın. 

 TOKEN=$(curl -u wazuh-wui:wazuh-wui -k -X GET "https://127.0.0.1:55000/security/user/authenticate?raw=true") 

 

 

 Wazuh  kullanıcı kimlik bilgilerini (ID 1) değiştirin . 8 ila 64 karakter uzunluğunda bir parola seçin, en az bir büyük harf ve bir küçük harf, bir sayı ve bir sembol içermelidir. Daha fazla bilgi edinmek için  PUT /security/users/{user_id} bölümüne  bakın . 

 curl -k -X PUT "https://127.0.0.1:55000/security/users/1" -H "Authorization: Bearer $TOKEN" -H 'Content-Type: application/json' -d'

{

 "password": "SuperS3cretPassword!"

}'

 

 

 Output 

 

 {"data": {"affected_items": [{"id": 1, "username": "wazuh", "allow_run_as": true, "roles": [1]}], "total_affected_items": 1, "total_failed_items": 0, "failed_items": []}, "message": "User was successfully updated", "error": 0}

 

 

 

 Wazuh-wui  kullanıcı kimlik bilgilerini (ID 2) değiştirin . 

 curl -k -X PUT "https://127.0.0.1:55000/security/users/2" -H "Authorization: Bearer $TOKEN" -H 'Content-Type: application/json' -d'

{

 "password": "SuperS3cretPassword!"

}'

 

 

 Output 

 

 {"data": {"affected_items": [{"id": 2, "username": "wazuh-wui", "allow_run_as": true, "roles": [1]}], "total_affected_items": 1, "total_failed_items": 0, "failed_items": []}, "message": "User was successfully updated", "error": 0}

 

 

 

 Ek güvenlik yapılandırmaları için Wazuh API'sini Güvence Altına Alma bölümüne bakın. 

 Not:  Bu şifreleri güvenli bir yerde saklamayı unutmayın. 

   

 

 

 

 Tüm Wazuh sunucu düğümlerinizde  , Filebeat anahtar deposundaki  yönetici  parolasını güncellemek için aşağıdaki komutu çalıştırın .  <ADMIN_PASSWORD> İlk adımda oluşturulan rastgele parola ile değiştirin. 

 echo <ADMIN_PASSWORD> | filebeat keystore add password --stdin --force 

 

 

 Değişikliği uygulamak için Filebeat'i yeniden başlatın. Systemd 

 systemctl restart filebeat 

 SysV Başlatma 

 service filebeat restart 

 

 

 

 

 

 

 

 

 

 

 Not:  3. ve 4. adımları  her Wazuh sunucu düğümünde tekrarlayın. 

   

 

 

 Wazuh kontrol paneli  düğümünüzde , Wazuh kontrol paneli anahtar deposundaki  kibanaserver  parolasını güncellemek için aşağıdaki komutu çalıştırın .  <KIBANASERVER_PASSWORD> İlk adımda oluşturulan rastgele parola ile değiştirin. 

 echo <KIBANASERVER_PASSWORD> | /usr/share/wazuh-dashboard/bin/opensearch-dashboards-keystore --allow-root add -f --stdin opensearch.password 

 

 

 İkinci adımda oluşturulan  /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml yeni  wazuh-wui şifresi ile yapılandırma dosyasını güncelleyin. 

 hosts:

 - default:

 url: https://127.0.0.1

 port: 55000

 username: wazuh-wui

 password: "<wazuh-wui-password>"

 run_as: false

 

 

 

 Değişiklikleri uygulamak için Wazuh panosunu yeniden başlatın. Systemd 

 systemctl restart wazuh-dashboard 

 SysV Başlatma  

 

 

 

 service wazuh-dashboard restart 

 

 

 

 

 

 

 

 

 

 Sonraki Adımlar 

 Wazuh ortamı hazır olduğunda, izlenecek her uç noktaya Wazuh aracıları yüklenebilir. Wazuh aracılarını yüklemek ve uç noktaları izlemeye başlamak için  Wazuh aracı  yükleme bölümüne bakın. Bunları çevrimdışı yüklemeniz gerekiyorsa, izlenen sisteminiz için indirilecek uygun aracı paketini  Wazuh aracı paketleri listesi  bölümünden kontrol edebilirsiniz. 

 Tüm Wazuh Central bileşenlerini kaldırmak için  Wazuh Central bileşenlerini kaldırma  bölümüne bakın.

Kaynaklardan Kurulum
Wazuh yöneticisi ve aracısı, paketlerden kuruluma alternatif olarak kaynaklar aracılığıyla da kurulabilir.

Wazuh Yöneticisini Kaynaklardan Yükleme
Wazuh sunucusu, dağıtılan aracılardan alınan verileri toplar ve analiz eder. Wazuh yöneticisini, Wazuh API'sini ve Filebeat'i çalıştırır. 

 Wazuh yönetici paketi ve uyumlu ajan paketleri Paketler listesi  bölümünden kontrol edilebilir veya indirilebilir . 

 

 Bağımlılıkları Yükleme 

 YUM 

 

 CentOS 7 

 yum update -y

yum install make gcc gcc-c++ policycoreutils-python automake autoconf libtool centos-release-scl openssl-devel wget bzip2 devtoolset-7 procps -y

curl -OL http://packages.wazuh.com/utils/gcc/gcc-9.4.0.tar.gz && tar xzf gcc-9.4.0.tar.gz && cd gcc-9.4.0/ && ./contrib/download_prerequisites && ./configure --enable-languages=c,c++ --prefix=/usr --disable-multilib --disable-libsanitizer && make -j$(nproc) && make install && ln -fs /usr/bin/g++ /bin/c++ && ln -fs /usr/bin/gcc /bin/cc && cd .. && rm -rf gcc-* && scl enable devtoolset-7 bash 

 CMake 3.18 kurulumu. 

 curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install

cd .. && rm -rf cmake-* 

 

 CentOS 8 

 yum install make cmake gcc gcc-c++ python3 python3-policycoreutils automake autoconf libtool openssl-devel yum-utils procps -y

curl -OL http://packages.wazuh.com/utils/gcc/gcc-9.4.0.tar.gz && tar xzf gcc-9.4.0.tar.gz && cd gcc-9.4.0/ && ./contrib/download_prerequisites && ./configure --enable-languages=c,c++ --prefix=/usr --disable-multilib --disable-libsanitizer && make -j$(nproc) && make install && ln -fs /usr/bin/g++ /bin/c++ && ln -fs /usr/bin/gcc /bin/cc && cd .. && rm -rf gcc-* && scl enable devtoolset-7 bash

yum-config-manager --enable powertools

yum install libstdc++-static -y 

 Kaynaklardan isteğe bağlı CMake 3.18 kurulumu 

 curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install

cd .. && rm -rf cmake-*

export PATH=/usr/local/bin:$PATH 

 

 APT 

 

 apt-get update

apt-get install python gcc g++ make libc6-dev curl policycoreutils automake autoconf libtool libssl-dev procps 

 

 

 

 

 

 

 

 

 

 

 

 CMake 3.18 kurulumu. 

 

 

 

 

 

 

 

 

 

 

 

 curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install

cd .. && rm -rf cmake-* 

 

 

 

 

 

 

 

 

 

 

 

 İsteğe bağlı:  Aşağıdaki bağımlılıkları yalnızca CPython'u kaynaklardan derlerken yükleyin. v4.2.0'dan beri, yüklenmeye hazır taşınabilir bir CPython sürümü indirecektir. Yine de, 'yi çalıştırırken bayrağı ekleyerek CPython kaynaklarını indirebilirsiniz . make   deps   TARGET=server PYTHON_SOURCE make   deps 

 Python yorumlayıcısını derlemek için gereken bağımlılıkları yüklemek için şu adımları izleyin: Yum 

 yum install epel-release yum-utils -y

yum-builddep python34 -y 

 APT 

 echo "deb-src http://archive.ubuntu.com/ubuntu $(lsb_release -cs) main" >> /etc/apt/sources.list

apt-get update

apt-get build-dep python3 -y 

 

 Not:  Önceki komuttan alınan Python sürümü, ikili dosyaları derlemek için kullanılan işletim sistemine bağlı olarak değişebilir. Daha fazla bilgi için Bağımlılıkları yükleyin  . 

 

 

 Wazuh yYöneticisinin Kurulumu 

 

 

 En son sürümü indirin ve çıkarın: 

 curl -Ls https://github.com/wazuh/wazuh/archive/v4.9.2.tar.gz | tar zx

cd wazuh-4.9.2 

 

 

 Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizleyin  src/ : 

 make -C src clean

make -C src clean-deps 

 

 

 Betiği çalıştırın  install.sh . Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbaz görüntüler: 

 

 Uyarı:  Veritabanı çıktısını etkinleştirmek istiyorsanız, kurulum betiğini çalıştırmadan önce bu bölümü inceleyin. 

 

 ./install.sh 

 İlk çalıştırma, güvenlik açığı algılama  içeriğini indirip işlediği için biraz zaman alabilir . Bu süreci hızlandırmak için  DOWNLOAD_CONTENT ortam değişkenini önceden olarak ayarlayabilirsiniz  y . Ayarlanan komut, kurulum sırasında önceden hazırlanmış bir veritabanını indirir. 

 DOWNLOAD_CONTENT=y ./install.sh 

 

 

 Script size ne tür bir kurulum istediğinizi sorduğunda  manager Wazuh yöneticisini kurmak için şunu yazın: 

 1- What kind of installation do you want (manager, agent, local, hybrid, or help)? manager 

   

 Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın ./install.sh ve dili seçin, kurulum modunu olarak ayarlayın  manager , ardından kurulum yolunu ( ) ayarlayın. Varsayılan kurulum yolu 'dir . Yaygın olarak kullanılan özel bir yol . olabilir . Choose   where   to   install   Wazuh   [/var/ossec] /var/ossec /opt 

   

   

 Uyarı:  Varsayılandan farklı bir yol seçerseniz kritik bir kurulum dizini seçmemeye son derece dikkat edin. Dizin zaten mevcutsa, yükleyici dizini silmenizi veya Wazuh'u içine kurarak devam etmenizi isteyecektir. 

 

 

 Kurulum programı kurulumun sonunda Wazuh'u başlatmak isteyip istemediğinizi sorar. Eğer istemezseniz, daha sonra şu şekilde başlatabilirsiniz: Systemd 

 systemctl start wazuh-manager 

 SysV Başlatma 

 service wazuh-manager start 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Diğer Wazuh Bileşenlerinin Kurulumu 

 Wazuh yöneticisi kaynaklardan yüklendikten sonra Kurulum kılavuzunu  izleyerek Wazuh indeksleyicisini, Filebeat'i ve Wazuh panosunu yükleyebilirsiniz . 

 

 

 Kaldır 

 

 

 Wazuh yöneticisini kaldırmak için  WAZUH_HOME geçerli kurulum yolunu ayarlayın: 

 WAZUH_HOME="/WAZUH/INSTALLATION/PATH" 

 

 

 Hizmeti durdurun: 

 service wazuh-manager stop 2> /dev/null 

 

 

 Daemon'u durdurun: 

 $WAZUH_HOME/bin/wazuh-control stop 2> /dev/null 

 

 

 Kurulum klasörünü ve tüm içeriğini kaldırın: 

 rm -rf $WAZUH_HOME 

 

 

 Hizmeti silin: Systemd 

 find /etc/systemd/system -name "wazuh*" | xargs rm -f

systemctl daemon-reload 

 SysV Başlatma 

 [ -f /etc/rc.local ] && sed -i'' '/wazuh-control start/d' /etc/rc.local

find /etc/{init.d,rc*.d} -name "*wazuh*" | xargs rm -f 

 

 

 

 

 

 

 

 

 

 Wazuh kullanıcı ve grubunu kaldır: 

 userdel wazuh 2> /dev/null

groupdel wazuh 2> /dev/null

Wazuh Aracısını Kaynaklardan Yükleme - Linux
Not:  Aşağıda açıklanan tüm komutları çalıştırmak için kök kullanıcı ayrıcalıklarına ihtiyacınız var. Wazuh 3.5'ten beri, bu işlemi takip ederken bir İnternet bağlantısına sahip olmak gerekir. 

 Not:  CMake 3.12.4, Wazuh aracı çözümünü derlemek için gereken en düşük kütüphane sürümüdür. 

 Not:  GCC 9.4, Wazuh aracı çözümünü derlemek için gereken en düşük derleyici sürümüdür.  

 

 

 

 Geliştirme araçlarını ve derleyicileri kurun. Linux'ta bu, dağıtımınızın paket yöneticisini kullanarak kolayca yapılabilir: Yum 

 CentOS 6/7 

 yum update -y

yum install make gcc gcc-c++ policycoreutils-python automake autoconf libtool centos-release-scl openssl-devel wget bzip2 procps -y

curl -OL http://packages.wazuh.com/utils/gcc/gcc-9.4.0.tar.gz && tar xzf gcc-9.4.0.tar.gz && cd gcc-9.4.0/ && ./contrib/download_prerequisites && ./configure --enable-languages=c,c++ --prefix=/usr --disable-multilib --disable-libsanitizer && make -j$(nproc) && make install && ln -fs /bin/g++ /usr/bin/c++ && ln -fs /bin/gcc /usr/bin/cc && cd .. && rm -rf gcc-* 

 

 

 

 

 

 

 

 

 

 

 

 CMake 3.18 kurulumu 

 

 

 

 

 

 

 

 curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz

cd cmake-3.18.3 && ./bootstrap --no-system-curl

make -j$(nproc) && make install

cd .. && rm -rf cmake-* 

 CentOS 8 

 yum install make gcc gcc-c++ python3 python3-policycoreutils automake autoconf libtool openssl-devel cmake procps -y

curl -OL http://packages.wazuh.com/utils/gcc/gcc-9.4.0.tar.gz && tar xzf gcc-9.4.0.tar.gz && cd gcc-9.4.0/ && ./contrib/download_prerequisites && ./configure --enable-languages=c,c++ --prefix=/usr --disable-multilib --disable-libsanitizer && make -j$(nproc) && make install && ln -fs /bin/g++ /usr/bin/c++ && ln -fs /bin/gcc /usr/bin/cc && cd .. && rm -rf gcc-*

yum-config-manager --enable powertools

yum install libstdc++-static -y 

 CMake 3.18 kurulumu 

 curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install

cd .. && rm -rf cmake-*

export PATH=/usr/local/bin:$PATH 

 

 

 APT 

 apt-get install python gcc g++ make libc6-dev curl policycoreutils automake autoconf libtool libssl-dev procps 

 CMake 3.18 kurulumu 

 curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install

cd .. && rm -rf cmake-* 

 

 

 

 

 ZYpp 

 zypper install -y make gcc gcc-c++ policycoreutils-python automake autoconf libtool libopenssl-devel curl 

 CMake 3.18 kurulumu 

 curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install

cd .. && rm -rf cmake-* 

 Not:  Suse 11 için bazı araçların paket yöneticisinde bulunmaması mümkün olabilir, bu durumda aşağıdaki resmi depoları ekleyebilirsiniz: 

 zypper addrepo http://download.opensuse.org/distribution/11.4/repo/oss/ oss 

 

 Pacman 

 

 

 Wazuh'u derlemek için önerilen sürüm GCC/G++ 9.4'tür. 

 

 

 

 pacman --noconfirm -Syu curl gcc make sudo wget expect gnupg perl-base perl fakeroot python brotli automa 

 

 

 

 

 

 En son sürümü indirin ve çıkarın: 

 curl -Ls https://github.com/wazuh/wazuh/archive/v4.9.2.tar.gz | tar zx 

 

 

 Betiği çalıştırın  install.sh . Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır: 

 cd wazuh-4.9.2

./install.sh 

 Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizlemelisiniz  src : 

 cd wazuh-4.9.2

make -C src clean

make -C src clean-deps 

 Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın  ./install.sh ve dili seçin, kurulum modunu olarak ayarlayın  agent , ardından kurulum yolunu (. Choose   where   to   install   Wazuh   [/var/ossec] ) ayarlayın. Varsayılan kurulum yolu /var/ossec 'dir . Yaygın olarak kullanılan özel bir yol /opt olabilir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmeyi veya içine Wazuh'u yüklemeyi isteyecektir. Ayrıca gözetimsiz bir kurulum da çalıştırabilirsiniz. 

 

 

 

 Komut dosyası ne tür bir kurulum istediğinizi soracaktır. Wazuh aracısını kurmak için aracı yazın: 

 

 Output 

 

 1- What kind of installation do you want (manager, agent, local, hybrid or help)? agent

 

 

 

 Sonraki adımlar 

 Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen  Wazuh aracı kayıt  bölümünü kontrol edin. 

 Kaldır 

 Wazuh aracısını kaldırmak için WAZUH_HOME'u geçerli yükleme yoluyla ayarlayın: 

 WAZUH_HOME="/WAZUH/INSTALLATION/PATH" 

 Hizmeti durdurun: 

 service wazuh-agent stop 2> /dev/null 

 Daemon'u durdurun: 

 $WAZUH_HOME/bin/wazuh-control stop 2> /dev/null 

 Kurulum klasörünü ve tüm içeriğini kaldırın: 

 rm -rf $WAZUH_HOME 

 Hizmeti silin: 

 SysV Başlatma 

 [ -f /etc/rc.local ] && sed -i'' '/wazuh-control start/d' /etc/rc.local

find /etc/{init.d,rc*.d} -name "*wazuh*" | xargs rm -f 

 Systemd 

 find /etc/systemd/system -name "wazuh*" | xargs rm -f

systemctl daemon-reload 

 

 

 

 

 

 

 

 Wazuh kullanıcı ve grubunu kaldır: 

 userdel wazuh 2> /dev/null

groupdel wazuh 2> /dev/null 

 

 curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install cd .. && rm -rf cmake-* export PATH=/usr/local/bin:$PATH

Wazuh Aracısını Kaynaklardan Yükleme - Windows
Not:  Aşağıdaki prosedür Ubuntu 22.04'te test edilmiştir ve diğer Debian/Ubuntu sürümlerinde de çalışabilir. MinGW 10 kullanmak gerekir. 

 

 

 Ubuntu yapı ortamını kurun. Ubuntu'da Windows Wazuh aracı yükleyicisini oluşturmak için bu bağımlılıkları yükleyin: 

 apt-get install curl gcc-mingw-w64 g++-mingw-w64-i686 g++-mingw-w64-x86-64 nsis make cmake 

 

 

 Windows yapı ortamını kurun. Yükleyiciyi oluşturmak için, Windows makinesinde aşağıdaki bağımlılıkların bulunması gerekir: 

 

 

 WiX Araç Seti  . 

 

 

 .NET çerçevesi 3.5.1. 

 

 

 Microsoft Windows SDK'sı. 

 

 

 

 

 Wazuh kaynak kodunu Ubuntu makinesine indirin ve sıkıştırılmış dosyayı açın: 

 curl -Ls https://github.com/wazuh/wazuh/archive/v4.9.2.tar.gz | tar zx

cd wazuh-4.9.2/src 

 

 

 Aşağıdaki komutu çalıştırarak Agent'ı derleyin  make : 

 make deps TARGET=winagent

make TARGET=winagent 

 İnşa sürecinin sonunda aşağıdaki çıktı görünecektir: 

 

 Output 

 

 Done building winagent

 

 

 

 Tüm depoyu Windows makinesine taşır. İşlemi hızlandırmak için sıkıştırılması önerilir. 

 cd ../.. && zip -r wazuh.zip wazuh-4.9.2 

 

 

 Depoyu Windows makinesinde açın,  wazuh-installer-build-msi.bat betiği win32 klasöründen çalıştırın. 

 cd wazuh-4.9.2\src\win32

 .\wazuh-installer-build-msi.bat 

 Eğer yükleyiciyi imzalamak istemiyorsanız, önceki scriptte signtool satırını yorum olarak yazmanız veya silmeniz gerekecektir. 

 :: signtool sign /a /tr http://timestamp.digicert.com /d "%MSI_NAME%" /fd SHA256 /td SHA256 "%MSI_NAME%" 

 

 

 İstendiğinde sürümü ve revizyon numarasını belirtin. Bu aynı zamanda Windows yükleyici dosyasını da oluşturacaktır. Aşağıdaki çıktıda sürüm 4.9.2 olarak ayarlanmıştır ve revizyon 1 olarak ayarlanmıştır. Bu, Windows yükleyicisini oluşturur wazuh-agent-4.9.2-1.msi 

 

 C:\wazuh\wazuh-4.9.2\src\win32>REM IF VERSION or REVISION are empty, ask for their value

C:\wazuh\wazuh-4.9.2\src\win32>IF [] == [] set /p VERSION=Enter the version of the Wazuh agent (x.y.z):

Enter the version of the Wazuh agent (x.y.z):4.9.2

C:\wazuh\wazuh-4.9.2\src\win32>IF [] == [] set /p REVISION=Enter the revision of the Wazuh agent:

Enter the revision of the Wazuh agent:1

C:\wazuh\wazuh-4.9.2\src\win32>SET MSI_NAME=wazuh-agent-4.9.2-1.msi

 

 

 

 Kurulum kılavuzunu  izleyerek wazuh-agent-4.9.2-1.msi kurulumunu gerçekleştirin . 

 

 

 Sonraki adımlar 

 Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen  Wazuh aracı kayıt  bölümünü kontrol edin. 

 Kaldır 

 Aracı kaldırmak için, gözetimsiz işlemi gerçekleştirmek üzere orijinal MSI dosyasına ihtiyaç duyulacaktır: 

 msiexec.exe /x wazuh-agent-4.9.2-1.msi /qn

Wazuh Aracısını Kaynaklardan Yükleme - macOS
macOS için bir paket yöneticisi olan brew'u kurun: 

 $ /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

 

 

 

 

 Uyarı:  Bazı macOS sürümlerinde, bu ilk komut  homebrew/core'un sığ klon olduğunu bildirerek başarısız olabilir. Bu olursa, sorunu çözmek için aşağıdaki komutları çalıştırın. 

 

 rm -rf "/usr/local/Homebrew/Library/Taps/homebrew/homebrew-core"

brew tap homebrew/core 

 Daha sonra brew'u düzgün bir şekilde kurmak için ilkini tekrar çalıştırın: /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh) 

 

 /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" 

 

 

 Geliştirme araçlarını ve derleyicileri brew aracılığıyla kurun. 

 brew install automake autoconf libtool cmake 

 

 

 En son sürümü indirin ve çıkarın: 

 curl -Ls https://github.com/wazuh/wazuh/archive/v4.9.2.tar.gz | tar zx 

 Not:  Aşağıda anlatılan tüm komutların root kullanıcı ayrıcalıklarıyla yürütülmesi gerekmektedir. 

   

 

 

 

 Betiği çalıştırın  install.sh . Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır: 

 cd wazuh-4.9.2

USER_DIR="/Library/Ossec" ./install.sh 

 Not:  Değişkenle birlikte  USER_DIR , aracı yükleme yolunun belirtildiğini unutmayın /Library/Ossec 

   

 

 Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizlemelisiniz  src : 

 cd wazuh-4.9.2

make -C src clean

make -C src clean-deps 

 Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın  ./install.sh ve dili seçin, kurulum modunu olarak ayarlayın  agent , ardından kurulum yolunu ( ) ayarlayın. Varsayılan kurulum yolu 'dir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmenizi veya Wazuh'u içine kurarak devam etmenizi isteyecektir. Ayrıca  gözetimsiz bir kurulum  da çalıştırabilirsiniz . Choose   where   to   install   Wazuh   [/Library/Ossec] /Library/Ossec 

 

 

 

 Komut dosyası ne tür bir kurulum istediğinizi soracaktır. Wazuh aracısını kurmak için aracı yazın: 

 

 

 Output 

 

 

 1- What kind of installation do you want (manager, agent, local, hybrid, or help)? agent 

 

 

 Sonraki adımlar 

 Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen  Wazuh aracı kayıt  bölümünü kontrol edin. 

 Kaldır 

 Wazuh aracısını kaldırmak için  WAZUH_HOME geçerli kurulum yolunu ayarlayın: 

 WAZUH_HOME="/WAZUH/INSTALLATION/PATH" 

 Hizmeti durdurun: 

 service wazuh-agent stop 2> /dev/null 

 Daemon'u durdurun: 

 $WAZUH_HOME/bin/wazuh-control stop 2> /dev/null 

 Kurulum klasörünü ve tüm içeriğini kaldırın: 

 rm -rf $WAZUH_HOME 

 Hizmeti silin: 

 rm -rf /Library/StartupItems/WAZUH 

 Wazuh kullanıcı ve grubunu kaldır: 

 dscl . -delete "/Users/wazuh" > /dev/null 2>&1

dscl . -delete "/Groups/wazuh" > /dev/null 2>&1

Wazuh Aracısını Kaynaklardan Yükleme - AIX
Aşağıdaki kurulum prosedürü için desteklenen sürüm AIX 6.1 TL9 veya üzeridir. 

 Not:  Aşağıda açıklanan tüm komutların root kullanıcı ayrıcalıklarıyla yürütülmesi gerekir. Wazuh 3.5'ten beri, bu işlemi takip ederken bir İnternet bağlantısına sahip olmak gerekir. 

   

 

 

 Geliştirme araçlarını ve derleyicileri kurun. 

 

 

 Aracı indirin  wget . 

 rpm -Uvh --nodeps http://packages-dev.wazuh.com/deps/aix/wget-1.19-1.aix6.1.ppc.rpm 

 

 

 Aşağıdaki betiği indirin. 

 wget https://raw.githubusercontent.com/wazuh/wazuh-packages/4.9/aix/generate_wazuh_packages.sh --no-check-certificate 

 Not:  Eğer scripti bu şekilde indiremiyorsanız, o zaman başka bir makine kullanarak indirip scp yardımcı programını kullanarak AIX makinesine kopyalamalısınız. 

   

 

 

 Bash ve libiconv'u indirin. 

 rpm -Uvh --nodeps http://packages-dev.wazuh.com/deps/aix/bash-4.4-4.aix6.1.ppc.rpm

rpm -Uvh --nodeps http://packages-dev.wazuh.com/deps/aix/libiconv-1.14-22.aix6.1.ppc.rpm 

 

 

 Gerekli bağımlılıkları scripti kullanarak kurun. 

 chmod +x generate_wazuh_packages.sh

./generate_wazuh_packages.sh -e 

 

 

 Not:  Bu adım birkaç dakika sürebilir. 

   

 

 

 En son sürümü indirin. 

 wget -O wazuh.tar.gz --no-check-certificate https://api.github.com/repos/wazuh/wazuh/tarball/v4.9.2

gunzip -c wazuh.tar.gz | tar -xvf - 

 Not:  Eğer deponuzu bu şekilde indiremiyorsanız scp yardımcı programını kullanarak kopyalamalısınız. 

   

 

 

 Kaynakları derleyin. 

 cd wazuh-4.9.2

cd src

gmake clean-deps

gmake clean

gmake deps TARGET=agent RESOURCES_URL=http://packages.wazuh.com/deps/27

gmake TARGET=agent USE_SELINUX=no PREFIX=/var/ossec 

 

 

 Betiği çalıştırın  install.sh . Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır: 

 cd ..

./install.sh 

 Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizlemelisiniz  src : 

 gmake -C src clean-deps

gmake -C src clean 

 Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın  ./install.sh ve dili seçin, kurulum modunu olarak ayarlayın  agent , ardından kurulum yolunu ( ) ayarlayın. Varsayılan kurulum yolu 'dir . Yaygın olarak kullanılan özel bir yol . olabilir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmeyi veya Wazuh'u içine yüklemeyi isteyecektir. Ayrıca  gözetimsiz  bir kurulum da çalıştırabilirsiniz . Choose   where   to   install   Wazuh   [/var/ossec] /var/ossec /opt 

 

 

 

 Son olarak aşağıdaki yapılandırmayı uygulayın: 

 sed '/System inventory/,/^$/{/^$/!d;}' /var/ossec/etc/ossec.conf > /var/ossec/etc/ossec.conf.tmp

mv /var/ossec/etc/ossec.conf.tmp /var/ossec/etc/ossec.conf 

 Not:  Yukarıdaki komutların varsayılan kurulum yolu için yürütüldüğünü unutmayın  /var/ossec . Aracı başka bir yola kurduysanız, bu komutların yolunu değiştirmeniz gerekecektir. 

   

 

 

 Sonraki adımlar 

 Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen  Wazuh aracı kayıt  bölümünü kontrol edin. 

 Kaldır 

 Wazuh aracısını kaldırmak için  WAZUH_HOME geçerli kurulum yolunu ayarlayın: 

 WAZUH_HOME="/WAZUH/INSTALLATION/PATH" 

 

 Hizmeti durdurun: 

 service wazuh-agent stop 2> /dev/null 

 

 Daemon'u durdurun: 

 $WAZUH_HOME/bin/wazuh-control stop 2> /dev/null 

 

 Kurulum klasörünü ve tüm içeriğini kaldırın: 

 rm -rf $WAZUH_HOME 

 

 Hizmeti silin: 

 find /etc/rc.d -name "*wazuh*" | xargs rm -f 

 

 Wazuh kullanıcı ve grubunu kaldır: 

 userdel wazuh 2> /dev/null

groupdel wazuh 2> /dev/null

Wazuh Aracısını Kaynaklardan Yükleme - HP-UX
Not:  Aşağıda açıklanan tüm komutların root kullanıcı ayrıcalıklarıyla yürütülmesi gerekir. Wazuh 3.5'ten beri, bu işlemi takip ederken bir İnternet bağlantısına sahip olmak gerekir. 

 

 

 Geliştirme araçlarını ve derleyicileri kurun. 

 

 

 Dosyayı indirin  depothelper-2.10-hppa_32-11.31.depot . 

 /usr/local/bin/wget https://github.com/wazuh/wazuh-packages/raw/master/hp-ux/depothelper-2.10-hppa_32-11.31.depot --no-check-certificate 

   

 Not:  Eğer scripti bu şekilde indiremiyorsanız, o zaman başka bir makine kullanarak indirip scp yardımcı programını kullanarak HP-UX makinesine kopyalamalısınız. 

 

 

 Paket yöneticisini yükleyin. Depo dosyasına giden mutlak yol kullanılır. 

 swinstall -s /ABSOLUTE/PATH/depothelper-2.10-hppa_32-11.31.depot \* 

 

 

 Aracı indirin  wget (Eğer yüklü değilse). 

 /usr/local/bin/depothelper -f wget 

 

 

 Aşağıdaki betiği indirin 

 /usr/local/bin/wget https://raw.githubusercontent.com/wazuh/wazuh-packages/master/hp-ux/generate_wazuh_packages.sh --no-check-certificate 

  Not: Eğer scripti bu şekilde indiremiyorsanız scp yardımcı programını kullanarak kopyalamalısınız. 

 

 

 Gerekli bağımlılıkları scripti kullanarak kurun. 

   

 chmod +x generate_wazuh_packages.sh

./generate_wazuh_packages.sh -e 

 

 

   

   

 Not:  Bu adım uzun sürebilir. 

 

 

 En son sürümü indirin. 

 /usr/local/bin/curl -k -L -O https://github.com/wazuh/wazuh/archive/v4.9.2.zip && /usr/local/bin/unzip v4.9.2 

 

   

 Not:  Eğer deponuzu bu şekilde indiremiyorsanız scp yardımcı programını kullanarak kopyalamalısınız. 

 

 

 Kaynakları derleyin. 

 cd wazuh-4.9.2

/usr/local/bin/gmake -C src deps RESOURCES_URL=http://packages.wazuh.com/deps/27 TARGET=agent

/usr/local/bin/gmake -C src TARGET=agent USE_SELINUX=no 

 

 

 Betiği çalıştırın  install.sh . Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır: 

 ./install.sh 

 Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizlemelisiniz  src : 

 /usr/local/bin/gmake -C src clean-deps

/usr/local/bin/gmake -C src clean 

 

 Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın ./install.sh ve dili seçin, kurulum modunu olarak ayarlayın  agent , ardından kurulum yolunu ( ) ayarlayın. Varsayılan kurulum yolu 'dir . Yaygın olarak kullanılan özel bir yol . olabilir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmeyi veya Wazuh'u içine yüklemeyi isteyecektir. Ayrıca  gözetimsiz  bir kurulum da çalıştırabilirsiniz . Choose   where   to   install   Wazuh   [/var/ossec] /var/ossec /opt 

 

 

 Sonraki adımlar 

 Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen  Wazuh aracı kayıt  bölümünü kontrol edin. 

 Kaldır 

 Wazuh aracısını kaldırmak için  WAZUH_HOME geçerli kurulum yolunu ayarlayın: 

 WAZUH_HOME="/WAZUH/INSTALLATION/PATH" 

 Hizmeti durdurun: 

 service wazuh-agent stop 2> /dev/null 

 

 Daemon'u durdurun: 

 $WAZUH_HOME/bin/wazuh-control stop 2> /dev/null 

 

 Kurulum klasörünü ve tüm içeriğini kaldırın: 

 rm -rf $WAZUH_HOME 

 

 Hizmeti silin: 

 find /sbin/{init.d,rc*.d} -name "*wazuh*" | xargs rm -f 

 

 Wazuh kullanıcı ve grubunu kaldır: 

 userdel wazuh 2> /dev/null

groupdel wazuh 2> /dev/null

Wazuh Aracısını Kaynaklardan Yükleme - Solaris
Bu bölümde, aşağıdaki Solaris sürümleri için Wazuh aracısının kaynaklardan nasıl indirileceği ve oluşturulacağı açıklanmaktadır: 

 

 

 Solaris i386 için 

 

 

 Solaris SPARC için 

 

 

 

 

 Solaris 10 

 

 

 

 Not:  Aşağıda açıklanan tüm komutların root kullanıcı ayrıcalıklarıyla yürütülmesi gerekir. Wazuh 3.5'ten beri, bu işlemi takip ederken bir İnternet bağlantısına sahip olmak gerekir. 

 

 

 

 

 Geliştirme araçlarını ve derleyicileri kurun. 

 

 

 Bash kabuğunu çalıştırın ve pkgutil'i yükleyin. 

 bash

PATH="${PATH}:/usr/sbin:/usr/bin:/usr/sbin/:/opt/csw/gnu/:/usr/sfw/bin/:/opt/csw/bin/"

export PATH

pkgadd -d http://get.opencsw.org/now 

 

 

 Aşağıdaki araçları yükleyin: 

 /opt/csw/bin/pkgutil -y -i git cmake automake autoconf gmake libtool wget curl gcc5core gcc5g++ gtar 

 

 

 gcc/g++ 5.5 derleyicisini indirin ve derleyin: 

 curl -L http://packages.wazuh.com/utils/gcc/gcc-5.5.0.tar.gz | gtar xz && cd gcc-5.5.0

curl -L http://packages.wazuh.com/utils/gcc/mpfr-2.4.2.tar.bz2 | gtar xj && mv mpfr-2.4.2 mpfr

curl -L http://packages.wazuh.com/utils/gcc/gmp-4.3.2.tar.bz2 | gtar xj && mv gmp-4.3.2 gmp

curl -L http://packages.wazuh.com/utils/gcc/mpc-0.8.1.tar.gz | gtar xz && mv mpc-0.8.1 mpc

curl -L http://packages.wazuh.com/utils/gcc/isl-0.14.tar.bz2 | gtar xj && mv isl-0.14 isl

unset CPLUS_INCLUDE_PATH && unset LD_LIBRARY_PATH

export PATH=/usr/sbin:/usr/bin:/usr/ccs/bin:/opt/csw/bin

mkdir -p /usr/local

./configure --prefix=/usr/local/gcc-5.5.0 --enable-languages=c,c++ --disable-multilib --disable-libsanitizer --disable-bootstrap --with-ld=/usr/ccs/bin/ld --without-gnu-ld --with-gnu-as --with-as=/opt/csw/bin/gas

gmake && gmake install

export CPLUS_INCLUDE_PATH=/usr/local/gcc-5.5.0/include/c++/5.5.0

export LD_LIBRARY_PATH=/usr/local/gcc-5.5.0/lib

echo "export PATH=/usr/sbin:/usr/bin:/usr/ccs/bin:/opt/csw/bin" >> /etc/profile

echo "export CPLUS_INCLUDE_PATH=/usr/local/gcc-5.5.0/include/c++/5.5.0" >> /etc/profile

echo "export LD_LIBRARY_PATH=/usr/local/gcc-5.5.0/lib" >> /etc/profile

rm -rf gcc-*

ln -sf /usr/local/gcc-5.5.0/bin/g++ /usr/bin/g++

cd .. 

 

 

 

 Not:  Adımın  gmake tamamlanması birkaç dakika sürecektir. Bu normal bir davranıştır. 

   

   

 

 

 cmake kütüphanesini kurun: 

 curl -sL http://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz | gtar xz

cd cmake-3.18.3

./bootstrap

gmake && gmake install

cd .. && rm -rf cmake-3.18.3

ln -sf /usr/local/bin/cmake /usr/bin/cmake 

 

 

 Perl 5.10.1’i indirin ve kurun. 

 wget http://www.cpan.org/src/5.0/perl-5.10.1.tar.gz

gunzip ./perl-5.10.1.tar.gz && tar xvf perl-5.10.1.tar

cd perl-5.10.1

./Configure -Dcc=gcc -d -e -s

gmake clean && gmake -d -s

gmake install -d -s

cd .. 

 

 

 Perl'in eski sürümünü kaldırıp yerine perl 5.10.1 sürümünü yükleyin. 

 rm /usr/bin/perl

mv /opt/csw/bin/perl5.10.1 /usr/bin/

mv /usr/bin/perl5.10.1 /usr/bin/perl

rm -rf perl-5.10.1* 

 

 

 

 

 Wazuh'un son sürümünü indirin. 

 /opt/csw/bin/git clone -b v4.9.2 https://github.com/wazuh/wazuh.git 

 

 

 Kaynakları derleyin. 

 

 

 Solaris 10 i386 için: 

 export PATH=/usr/local/gcc-5.5.0/bin:/usr/sbin:/usr/bin:/usr/ccs/bin:/opt/csw/bin:/opt/csw/gnu

export CPLUS_INCLUDE_PATH=/usr/local/gcc-5.5.0/include/c++/5.5.0

export LD_LIBRARY_PATH=/usr/local/gcc-5.5.0/lib

cd wazuh/src

gmake clean

gmake deps TARGET=agent

gmake -j 4 TARGET=agent PREFIX=/var/ossec USE_SELINUX=no

cd .. 

 

 

 Solaris 10 SPARC için: 

 export PATH=/usr/local/gcc-5.5.0/bin:/usr/sbin:/usr/bin:/usr/ccs/bin:/opt/csw/bin:/opt/csw/gnu

export CPLUS_INCLUDE_PATH=/usr/local/gcc-5.5.0/include/c++/5.5.0

export LD_LIBRARY_PATH=/usr/local/gcc-5.5.0/lib

cd wazuh/src

gmake clean

gmake deps TARGET=agent

gmake -j 4 TARGET=agent PREFIX=/var/ossec USE_SELINUX=no

cd .. 

 

 

 

 

 Shebang'i değiştirmek için solaris 10 sh dosyalarını yamalayın. 

 for file in $(find . -name "*.sh");do

sed 's:#!/bin/sh:#!/usr/xpg4/bin/sh:g' $file > $file.new

mv $file.new $file && chmod +x $file

done 

 

 

 Betiği çalıştırın  install.sh . Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır: 

 bash install.sh 

 Daha önce başka bir platform için derleme yaptıysanız, src'deki Makefile'ı kullanarak derlemeyi temizlemelisiniz: 

 gmake -C src clean

gmake -C src clean-deps 

 Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın  ./install.sh ve dili seçin, kurulum modunu olarak ayarlayın  agent , ardından kurulum yolunu ( Choose   where   to   install   Wazuh   [/var/ossec] ) ayarlayın. Varsayılan kurulum yolu /var/ossec 'dir . Yaygın olarak kullanılan özel bir yol /opt olabilir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmeyi veya içine Wazuh'u yüklemeyi isteyecektir. Ayrıca gözetimsiz bir kurulum da çalıştırabilirsiniz . 

 

 

 

 Komut dosyası ne tür bir kurulum istediğinizi soracaktır.  agent Wazuh aracısını kurmak için şunu yazın: 

 

 

 Output 

 

 

 1- What kind of installation do you want (manager, agent, local, hybrid, or help)? agent 

 

 

 

 

 Sonraki adımlar 

 

 

 

 Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen  Wazuh aracı kayıt  bölümünü kontrol edin. 

 

 

 

 Kaldır 

 

 

 

 Wazuh aracısını kaldırmak için  WAZUH_HOME geçerli kurulum yolunu ayarlayın: 

 WAZUH_HOME="/WAZUH/INSTALLATION/PATH" 

 

 

 

 

 

 

 

 Hizmeti durdurun: 

 service wazuh-agent stop 2> /dev/null 

 

 

 

 

 

 

 

 Daemon'u durdurun: 

 $WAZUH_HOME/bin/wazuh-control stop 2> /dev/null 

 

 

 

 

 

 

 

 Kurulum klasörünü ve tüm içeriğini kaldırın: 

 rm -rf $WAZUH_HOME 

 

 

 

 

 

 

 

 Hizmeti silin: 

 find /etc/{init.d,rc*.d} -name "*wazuh*" | xargs rm -f 

 

 

 

 

 

 

 

 Wazuh kullanıcı ve grubunu kaldır: 

 userdel wazuh 2> /dev/null

groupdel wazuh 2> /dev/null 

 

 

 

 Solaris 11 

 

 

 

 Not:  Aşağıda açıklanan tüm komutların root kullanıcı ayrıcalıklarıyla yürütülmesi gerekir. Wazuh 3.5'ten beri, bu işlemi takip ederken bir İnternet bağlantısına sahip olmak gerekir. 

 

 

 

 

 

 

 

 

 

 

 

 Geliştirme araçlarını ve derleyicileri kurun. 

 

 

 

 

 

 

 

 

 

 

 Pkgutil'i kurun ve güncelleyin. 

 pkgadd -d http://get.opencsw.org/now

export PATH="${PATH}:/usr/sfw/bin:/opt/csw/bin:/opt/ccs/bin"

pkgutil -y -U 

 

 

 Python 2.7'yi kurun. 

 /opt/csw/bin/pkgutil -y -i python27

ln -sf /opt/csw/bin/python2.7 /usr/bin/python 

 

 

 Aşağıdaki araçları yükleyin: 

 /opt/csw/bin/pkgutil -y -i git gmake cmake gcc5core gcc5g++ 

   

 

 

 Bir sonraki adımda ihtiyaç duyulacak tüm dosyaları içerecek şekilde bir gcc sürümü yükleyin: 

 # pkg install gcc-45 

   

 

 

 gcc/g++ 5.5 derleyicisini indirin ve derleyin: 

 curl -O https://packages.wazuh.com/utils/gcc/gcc-5.5.0.tar.gz && gtar xzf gcc-5.5.0.tar.gz

ln -sf gcc-5.5.0 gcc

cd gcc && ./contrib/download_prerequisites

cd .. && mkdir -p gcc-build && cd gcc-build

../gcc/configure --prefix=/usr/local/gcc-5.5.0 --enable-languages=c,c++ --disable-multilib --disable-libsanitizer --disable-bootstrap --with-ld=/usr/ccs/bin/ld --without-gnu-ld --with-gnu-as --with-as=/opt/csw/bin/gas

gmake

gmake install

export PATH=/usr/local/gcc-5.5.0/bin/:/usr/local/bin/:/usr/bin/:/usr/sbin/:$PATH

export CPLUS_INCLUDE_PATH=/usr/local/gcc-5.5.0/include/c++/5.5.0/

export LD_LIBRARY_PATH=/usr/local/gcc-5.5.0/lib/

cd .. 

 

 Not:  Adımın  gmake tamamlanması birkaç dakika sürecektir. Bu normal bir davranıştır. 

   

 

 

 cmake kütüphanesini kurun: 

 curl -sL http://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz | gtar xz

cd cmake-3.18.3

./bootstrap

gmake && gmake install

cd .. && rm -rf cmake-3.18.3

ln -sf /usr/local/bin/cmake /usr/bin/cmake 

 

 

 

 

 En son sürümü indirin. 

 git clone -b v4.9.2 https://github.com/wazuh/wazuh.git 

 Not:  Eğer Open SSL hatası nedeniyle dosyayı indiremiyorsanız, scp yardımcı programını kullanarak dizini kopyalamanız gerekir. 

 

 Betiği çalıştırın  install.sh . Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbazı çalıştıracaktır: 

 cd wazuh*

./install.sh 

 

 

 Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizlemelisiniz  src : 

 gmake -C src clean

gmake -C src clean-deps 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın ./install.sh ve dili seçin, kurulum modunu olarak ayarlayın  agent , ardından kurulum yolunu ( Choose   where   to   install   Wazuh   [/var/ossec] ) ayarlayın. Varsayılan kurulum yolu /var/ossec 'dir . Yaygın olarak kullanılan özel bir yol /opt olabilir . Varsayılandan farklı bir yol seçerken, dizin zaten mevcutsa, yükleyici dizini silmeyi veya içine Wazuh'u yüklemeyi isteyecektir. Ayrıca gözetimsiz bir kurulum da çalıştırabilirsiniz . 

 

 

 

 

 

 

 

 

 Komut dosyası ne tür bir kurulum istediğinizi soracaktır. Wazuh aracısını kurmak için şunu agent  yazın: 

 

 

 

 Output 

 

 

 1- What kind of installation do you want (manager, agent, local, hybrid, or help)? agent 

 

 

 

 

 

 

 

 

 Sonraki adımlar 

 

 

 

 

 

 

 

 

 

 

 

 Artık aracı yüklendiğine göre, bir sonraki adım aracı Wazuh sunucusuna kaydetmektir. Bu süreç hakkında daha fazla bilgi için lütfen  Wazuh aracı kayıt  bölümünü kontrol edin. 

 

 

 

 

 

 

 

 

 

 

 

 Kaldır 

 

 

 

 

 

 

 

 

 

 

 

 Wazuh aracısını kaldırmak için  WAZUH_HOME geçerli kurulum yolunu ayarlayın: 

 

 

 

 

 

 

 

 WAZUH_HOME="/WAZUH/INSTALLATION/PATH" 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Hizmeti durdurun: 

 

 

 

 

 

 

 

 service wazuh-agent stop 2> /dev/null 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Daemon'u durdurun: 

 

 

 

 

 

 

 

 $WAZUH_HOME/bin/wazuh-control stop 2> /dev/null 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Kurulum klasörünü ve tüm içeriğini kaldırın: 

 

 

 

 

 

 

 

 rm -rf $WAZUH_HOME 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Hizmeti silin: 

 

 

 

 

 

 

 

 find /etc/{init.d,rc*.d} -name "*wazuh*" | xargs rm -f 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Wazuh kullanıcı ve grubunu kaldır: 

 

 

 

 

 

 

 

 userdel wazuh 2> /dev/null

groupdel wazuh 2> /dev/null

Ansible ile Dağıtım
Ansible, görevleri otomatikleştirmek için tasarlanmış açık kaynaklı bir platformdur. Otomasyon işlerini oluşturmayı ve tanımlamayı kolaylaştıran YAML tabanlı tanımlayıcı bir dil olan Playbooks ile birlikte gelir. Ayrıca Ansible, her ana bilgisayarla SSH üzerinden iletişim kurarak çok güvenli hale getirir.



Puppet ile Dağıtım
Puppet, nerede çalıştırılırsa çalıştırılsın tüm yazılımlarınızı otomatik olarak denetlemenizi, teslim etmenizi, çalıştırmanızı ve geleceğe hazırlamanızı sağlayan açık kaynaklı bir yazılım aracıdır. Birçok Unix benzeri sistemde ve Microsoft Windows'ta çalışır ve sistem yapılandırmasını tanımlamak için kendi beyan dilini içerir. Kullanımı çok basittir ve Wazuh'u kolayca kurmanıza ve yapılandırmanıza olanak tanır.

Puppet Master'ı Kurma
Bu bölüm puppet-master'ın  nasıl kurulacağını açıklar .  Resmi kurulum kılavuzunu  kontrol etmek için bu bağlantıyı takip edin . 

 DNS yapılandırmanız yoksa, ad çözümlemesi için hosts dosyanızı kullanmalısınız. Dosyayı düzenleyin  /etc/hosts ve aşağıdakileri ekleyin: 

 [puppet master ip] puppet puppet-master

[puppet agent ip] puppet-agent 

 

 CentOS/RHEL/Fedora'ya Kurulum 

 Puppet yum deposunu ve ardından “puppetserver” paketini yükleyin. Linux dağıtımınız için puppet deposunu yüklemek için gereken doğru rpm dosyasını bulmak için bu  dizine bakın. Örneğin, CentOS 8 veya RHEL 8 için Puppet 7'yi yüklemek için aşağıdakileri yapın: 

 sudo rpm -Uvh https://yum.puppet.com/puppet7-release-el-8.noarch.rpm

yum -y install puppetserver 

 Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun: 

 ln -s /opt/puppetlabs/bin/puppet /bin

ln -s /opt/puppetlabs/server/bin/puppetserver /bin 

 

 

 Debian/Ubuntu'ya Kurulum 

 Manifest, wazuh'u kurmak için aşağıdaki sürümleri destekler. 

 

 

 Debian  : 7 (hırıltılı), 8 (jessie), 9 (stretch), 10 (buster), 11 (boğa gözü), 12 (kitap kurdu) 

 

 

 Ubuntu  : 12.04 (Hassas Pangolin), 14.04 (Güvenilir Tahr), 15.04 (Canlı Vervet), 15.10 (Kurnaz Kurtadam), 16.04 (Xenial Xerus), 16.10 (Yakkety Yak), 18.04 (Biyonik Kunduz), 20.04 (Focal Fossa), 22.04 (Reçel Denizanası) 

 

 

 Kurun  curl ve : apt-transport-https ​ lsb-release 

 apt-get update

apt-get install curl apt-transport-https lsb-release wget 

 Uygun Puppet apt deposunu ve ardından “puppetserver” paketini yükleyin. Linux dağıtımınız için Puppet 7 deposunu yüklemek üzere doğru deb dosyasını bulmak için  https://apt.puppetlabs.com adresine bakın. 

 wget https://apt.puppet.com/puppet7-release-focal.deb

dpkg -i puppet7-release-focal.deb

apt-get update

apt-get install -y puppetserver 

 Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun: 

 ln -s /opt/puppetlabs/bin/puppet /bin

ln -s /opt/puppetlabs/server/bin/puppetserver /bin 

 

 

 Bellek Tahsisi 

 Varsayılan olarak, Puppet Server 2 GB RAM kullanacak şekilde yapılandırılacaktır. Ancak, bir VM'de Puppet Server ile denemeler yapmak istiyorsanız, güvenli bir şekilde 512 MB kadar az bellek tahsis edebilirsiniz. Puppet Server bellek tahsisini değiştirmek için, aşağıdaki init yapılandırma dosyasını düzenleyebilirsiniz. 

 

 

 

 /etc/sysconfig/puppetserver -- CentOS/RHEL/Fedora 

 

 

 /etc/default/puppetserver -- Debian/Ubuntu 

 

 

 

 Değişkendeki 2g'yi  JAVA_ARGS Puppet Server'a tahsis etmek istediğiniz bellek miktarıyla değiştirin. Örneğin, 1 GB bellek tahsis etmek için ; kullanın . 512 MB için . JAVA_ARGS="-Xms1g   -Xmx1g" JAVA_ARGS="-Xms512m   -Xmx512m" 

 

 

 Yapılandırma 

 /etc/puppetlabs/puppet/puppet.conf Puppet sunucusunu yapılandırmak için dosyayı düzenleyin .  [main] Bölüme aşağıdaki ayarları ekleyin. Bölüm yoksa, bölümü oluşturmanız gerekir. Kendi DNS'inizi kurduysanız  puppet ve yerine  puppet-master Tam Nitelikli Alan Adlarınızı (FQDN'ler) koyun. 

 [main]

server = puppet-master

dns_alt_names = puppet, puppet-master 

 Not:  Yapılandırma dosyasında bulursanız  templatedir=$confdir/templates , o satırı silin. Kullanım dışı bırakıldı. 

 

 Ubuntu/Debian makineleri için, puppetserver başlamazsa. puppetserver dosyasını düzenleyin,  /etc/default/puppetserver . Bellek boyutunu 1G veya 512MB olarak değiştirmek için aşağıdaki satırı değiştirin: 

 JAVA_ARGS="-Xms512m -Xmx512m -Djruby.logger.class=com.puppetlabs.jruby_utils.jruby.Slf4jLogger" 

 Daha sonra Puppet Server'ınızı başlatın: Systemd 

 systemctl start puppetserver

systemctl enable puppetserver

systemctl status puppetserver 

 SysV Başlatma  

 service puppetserver start

update-rc.d puppetserver

Puppet Agent Yükleme
Bu bölümde puppet-agent'ın  nasıl kurulacağı anlatılmaktadır .  Resmi kurulum kılavuzunu  kontrol etmek için bu bağlantıyı takip edin . 

 Puppet Server'ınızda yaptığınız gibi, Puppet deposunu da aracı sisteminize  apt yüklediğinizi varsayıyoruz . yum 

 DNS yapılandırmanız yoksa, ad çözümlemesi için hosts dosyanızı kullanmalısınız. 

 Dosyayı düzenleyin  /etc/hosts ve Puppet ana makinesinin ve aracısının IP adresini ve ana bilgisayar adını ekleyin: Bu başlığa kalıcı bağlantı 

 [puppet master ip] puppet puppet-master

[puppet agent ip] puppet-agent

 

 

 CentOS/RHEL/Fedora'ya Kurulum 

 Puppet yum deposunu ve ardından "puppet-agent" paketini yükleyin. Linux dağıtımınız için puppet deposunu yüklemek için gereken doğru rpm dosyasını bulmak için bu  dizine bakın. Örneğin, CentOS 7 veya RHEL 7 için Puppet 7'yi yüklemek için aşağıdakileri yapın: 

 sudo rpm -Uvh https://yum.puppet.com/puppet7-release-el-8.noarch.rpm

yum -y install puppet-agent 

 Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun: 

 ln -s /opt/puppetlabs/bin/puppet /bin 

 

 

 Debian/Ubuntu'ya Kurulum 

 Manifest, wazuh'u kurmak için aşağıdaki sürümleri destekler. 

 

 

 Debian  : 7 (hırıltılı), 8 (jessie), 9 (stretch), 10 (buster), 11 (boğa gözü), 12 (kitap kurdu) 

 

 

 Ubuntu  : 12.04 (Hassas Pangolin), 14.04 (Güvenilir Tahr), 15.04 (Canlı Vervet), 15.10 (Kurnaz Kurtadam), 16.04 (Xenial Xerus), 16.10 (Yakkety Yak), 18.04 (Biyonik Kunduz), 20.04 (Focal Fossa), 22.04 (Reçel Denizanası) 

 

 

 Kurun  curl ve : apt-transport-https ​ lsb-release 

 apt-get update

apt-get install curl apt-transport-https lsb-release wget 

 Uygun Puppet apt deposunu ve ardından “puppet-agent” paketini yükleyin. Linux dağıtımınız için puppet deposunu yüklemek üzere doğru deb dosyasını bulmak için  https://apt.puppetlabs.com adresine bakın. 

 wget https://apt.puppet.com/puppet7-release-focal.deb

dpkg -i puppet7-release-focal.deb

apt-get update

apt-get install -y puppet-agent 

 Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun: 

 ln -s /opt/puppetlabs/bin/puppet /bin 

 

 

 Windows'a Kurulum 

 

 

 

 

 

 Windows  puppet-agent  paketini indirin. 

 Bu paket Puppet'ın tüm ön koşullarını bir araya getiriyor. 

 Not:  Bu, Puppet 7.16 sürüm aracısı için pakettir. Başka bir pakete ihtiyaç duyulursa, tüm paketlerin indirilebildiği  resmi dizine gidin. 

 

   

 

 

 

 Puppet'ı kurun. 

 

 

 

 Windows GUI'yi kullanma: 

 

 

 

 

 

 

 GUI'yi yükseltilmiş ayrıcalıklarla çalıştırın. 

 

 

 Kurulum sırasında Puppet sizden Puppet ana sunucunuzun ana bilgisayar adını ister. 

 

 

 Ana bilgisayara bağlanmayacak bağımsız Puppet düğümleri için varsayılan ana bilgisayar adını (  puppet ) kullanın. Ayrıca komut satırına yüklemek ve aracı başlatma modunu  Devre Dışı  olarak ayarlamak isteyebilirsiniz . 

 

 

 Kurulum tamamlandıktan sonra Puppet kurulmuş ve çalışır hale gelecektir. 

 

 

 

 

 

 

 Komut satırını kullanarak: 

 msiexec /qn /norestart /i puppet-agent-<VERSION>-x64.msi 

 

 

 

 İsteğe bağlı olarak, kurulumun ilerlemesini bir dosyaya kaydetmeyi belirtebilirsiniz . Ayrıca, Puppet'ı kurarken önceden yapılandırmak için çeşitli MSI özelliklerini ayarlayabilirsiniz. /l*v   install.txt 

 

 

 

 Aracı Yapılandırması 

 Puppet aracısını yapılandırmak için düğümdeki yapılandırma dosyasını düzenleyin. 

 

 

 /etc/puppetlabs/puppet/puppet.conf Linux sistemleri için 

 

 

 C:\ProgramData\PuppetLabs\puppet\etc\puppet.conf Windows sistemleri için 

 

 

 server Ayarı dosyanın bölümüne ekleyin  [main] . Kendi DNS'inizi ayarladıysanız,  puppet-master Puppet sunucunuzun Tam Nitelikli Alan Adı (FQDN) ile değiştirin. 

 [main]

server = puppet-master 

 Not:  Puppet sunucusunun FQDN'si Puppet aracı ana bilgisayarı tarafından çözülmelidir. 

 Puppet hizmetini yeniden başlatın ve durumunu kontrol edin: 

 puppet resource service puppet ensure=running enable=true

sudo systemctl status puppet

Puppet Sertifikalarının Kurulumu
Bir sertifika oluşturmak ve imzalamak için aşağıdaki adımları izleyin: 

 

 

 Puppet aracısında, boş bir sertifika oluşturmak için şu komutu çalıştırın: 

 puppet agent -t 

 

 

 Puppet sunucu tarafında, onaylanması gereken mevcut sertifikaları listeleyin: 

 puppetserver ca list 

 Düğüm ana bilgisayar adınızı içeren bir liste çıktısı vermelidir. 

 

 

 Sertifikayı onaylayın ve bunu  pending-agent-node aracınızın düğüm adıyla değiştirin: 

 puppetserver ca sign --certname pending-agent-node 

 Tüm sertifikalar bununla onaylanabilir: 

 puppetserver ca sign --all 

 

 

 Puppet aracı düğümüne geri dönün ve puppet aracısını tekrar çalıştırın: 

 puppet agent -t 

 

 

 Not:  Başarılı bir sertifika imzalama için özel ağ DNS'inin ön koşul olduğunu unutmayın.

Wazuh Modülünü Kurun
Bu  modül  Nicolas Zin tarafından yazılmış ve Jonathan Gazeley ve Michael Porter tarafından güncellenmiştir. Wazuh, onu sürdürme amacıyla çatallamıştır. Katkılarından dolayı yazarlara teşekkür ederiz. 

 

 Wazuh Modülünü Kurun 

 Puppet Forge'dan Wazuh modülünü indirin ve kurun: 

 puppet module install wazuh-wazuh --version 4.9.2 

 

 

 

 

 

 Output 

 

 

 Notice: Preparing to install into /etc/puppetlabs/code/environments/production/modules ...

Notice: Downloading from https://forgeapi.puppet.com ...

Notice: Installing -- do not interrupt ...

/etc/puppetlabs/code/environments/production/modules

└─┬ wazuh-wazuh (v4.9.2)

 ├── puppet-nodejs (v7.0.1)

 ├── puppet-selinux (v3.4.1)

 ├── puppetlabs-apt (v7.7.1)

 ├─┬ puppetlabs-concat (v6.4.0)

 │ └── puppetlabs-translate (v2.2.0)

 ├── puppetlabs-firewall (v2.8.1)

 ├─┬ puppetlabs-powershell (v4.1.0)

 │ └── puppetlabs-pwshlib (v0.10.1)

 └── puppetlabs-stdlib (v6.6.0)

 

 Bu modül Wazuh aracısını ve yöneticisini kurar ve yapılandırır. 

 

 

 Puppet Aracılığıyla Bir Yığın Kurun 

 

 Tek Düğüm 

 Tek düğümlü bir yığını dağıtmak için aşağıda gösterilen bildirimi kullanabilirsiniz. Bu yığın şunlardan oluşur: 

 

 

 Wazuh gösterge paneli 

 

 

 Wazuh dizinleyici 

 

 

 Wazuh yöneticisi 

 

 

 Dosyabeat 

 

 

 Aşağıdaki içerikle  stack.pp dosyayı oluşturun : /etc/puppetlabs/code/environments/production/manifests/ 

 

 

 puppet-aio-node : Puppet aracısının ana bilgisayar adı veya IP adresi. 

 

 

 puppet-server : Wazuh modülü kurulduğunda Puppet sunucusunun ana bilgisayar adı veya IP adresi. 

 

 

 $discovery_type = 'single-node'

stage { 'certificates': }

stage { 'repo': }

stage { 'indexerdeploy': }

stage { 'securityadmin': }

stage { 'dashboard': }

stage { 'manager': }

Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]

Exec {

timeout => 0,

}

node "puppet-server" {

class { 'wazuh::certificates':

 indexer_certs => [['node-1','127.0.0.1']],

 manager_certs => [['master','127.0.0.1']],

 dashboard_certs => ['127.0.0.1'],

 stage => certificates,

}

}

node "puppet-aio-node" {

class { 'wazuh::repo':

stage => repo,

}

class { 'wazuh::indexer':

 stage => indexerdeploy,

}

class { 'wazuh::securityadmin':

stage => securityadmin

}

class { 'wazuh::manager':

 stage => manager,

}

class { 'wazuh::filebeat_oss':

 stage => manager,

}

class { 'wazuh::dashboard':

 stage => dashboard,

}

}

 

 

 

 Çoklu Düğüm 

 Aşağıdaki çoklu düğüm bildirimini kullanarak, aşağıdaki düğümlerden oluşan dağıtılmış bir yığını üç farklı sunucuya veya Sanal Makineye (VM) dağıtabilirsiniz. 

 

 

 3 dizinleyici düğümü 

 

 

 Yönetici ana düğümü 

 

 

 Yönetici işçi düğümü 

 

 

 Pano düğümü 

 

 

 Her uygulamayı yüklediğiniz sunucuların IP adreslerini mutlaka eklemelisiniz. 

 $node1host = '<WAZUH_INDEXER_NODE1_IP_ADDRESS>'

$node2host = '<WAZUH_INDEXER_NODE2_IP_ADDRESS>'

$node3host = '<WAZUH_INDEXER_NODE3_IP_ADDRESS>'

$masterhost = '<WAZUH_MANAGER_MASTER_IP_ADDRESS>'

$workerhost = '<WAZUH_MANAGER_WORKER_IP_ADDRESS>'

$dashboardhost = '<WAZUH_DASHBOARD_IP_ADDRESS>'

$indexer_node1_name = 'node1'

$indexer_node2_name = 'node2'

$indexer_node3_name = 'node3'

$master_name = 'master'

$worker_name = 'worker'

$cluster_size = '3'

$indexer_discovery_hosts = [$node1host, $node2host, $node3host]

$indexer_cluster_initial_master_nodes = [$node1host, $node2host, $node3host]

$indexer_cluster_CN = [$indexer_node1_name, $indexer_node2_name, $indexer_node3_name]

# Define stage for order execution

stage { 'certificates': }

stage { 'repo': }

stage { 'indexerdeploy': }

stage { 'securityadmin': }

stage { 'dashboard': }

stage { 'manager': }

Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]

Exec {

timeout => 0,

}

node "puppet-server" {

class { 'wazuh::certificates':

 indexer_certs => [["$indexer_node1_name","$node1host" ],["$indexer_node2_name","$node2host" ],["$indexer_node3_name","$node3host" ]],

 manager_master_certs => [["$master_name","$masterhost"]],

 manager_worker_certs => [["$worker_name","$workerhost"]],

 dashboard_certs => ["$dashboardhost"],

 stage => certificates

}

class { 'wazuh::repo':

stage => repo

}

}

node "puppet-wazuh-indexer-node1" {

class { 'wazuh::repo':

stage => repo

}

class { 'wazuh::indexer':

 indexer_node_name => "$indexer_node1_name",

 indexer_network_host => "$node1host",

 indexer_node_max_local_storage_nodes => "$cluster_size",

 indexer_discovery_hosts => $indexer_discovery_hosts,

 indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,

 indexer_cluster_CN => $indexer_cluster_CN,

 stage => indexerdeploy

}

class { 'wazuh::securityadmin':

indexer_network_host => "$node1host",

stage => securityadmin

}

}

node "puppet-wazuh-indexer-node2" {

class { 'wazuh::repo':

stage => repo

}

class { 'wazuh::indexer':

 indexer_node_name => "$indexer_node2_name",

 indexer_network_host => "$node2host",

 indexer_node_max_local_storage_nodes => "$cluster_size",

 indexer_discovery_hosts => $indexer_discovery_hosts,

 indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,

 indexer_cluster_CN => $indexer_cluster_CN,

 stage => indexerdeploy

}

}

node "puppet-wazuh-indexer-node3" {

class { 'wazuh::repo':

stage => repo

}

class { 'wazuh::indexer':

 indexer_node_name => "$indexer_node3_name",

 indexer_network_host => "$node3host",

 indexer_node_max_local_storage_nodes => "$cluster_size",

 indexer_discovery_hosts => $indexer_discovery_hosts,

 indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,

 indexer_cluster_CN => $indexer_cluster_CN,

 stage => indexerdeploy

}

}

node "puppet-wazuh-manager-master" {

class { 'wazuh::repo':

stage => repo

}

class { 'wazuh::manager':

 ossec_cluster_name => 'wazuh-cluster',

 ossec_cluster_node_name => 'wazuh-master',

 ossec_cluster_node_type => 'master',

 ossec_cluster_key => '01234567890123456789012345678912',

 ossec_cluster_bind_addr => "$masterhost",

 ossec_cluster_nodes => ["$masterhost"],

 ossec_cluster_disabled => 'no',

 stage => manager

}

class { 'wazuh::filebeat_oss':

 filebeat_oss_indexer_ip => "$node1host",

 wazuh_node_name => "$master_name",

 stage => manager

}

}

node "puppet-wazuh-manager-worker" {

class { 'wazuh::repo':

stage => repo

}

class { 'wazuh::manager':

 ossec_cluster_name => 'wazuh-cluster',

 ossec_cluster_node_name => 'wazuh-worker',

 ossec_cluster_node_type => 'worker',

 ossec_cluster_key => '01234567890123456789012345678912',

 ossec_cluster_bind_addr => "$masterhost",

 ossec_cluster_nodes => ["$masterhost"],

 ossec_cluster_disabled => 'no',

 stage => manager

}

class { 'wazuh::filebeat_oss':

 filebeat_oss_indexer_ip => "$node1host",

 wazuh_node_name => "$worker_name",

 stage => manager

}

}

node "puppet-wazuh-dashboard" {

class { 'wazuh::repo':

stage => repo,

}

class { 'wazuh::dashboard':

 indexer_server_ip => "$node1host",

 manager_api_host => "$masterhost",

 stage => dashboard

}

}

 

 Manifest'te açıklanan kukla düğümlerinin IP adresleriyle olan ilişkisi şu şekildedir: 

 

 

 puppet-wazuh-indexer-node1 =  node1host . Wazuh indeksleyici node1. 

 

 

 puppet-wazuh-indexer-node2 =  node2host . Wazuh indeksleyici node2. 

 

 

 puppet-wazuh-indexer-node3 =  node3host . Wazuh indeksleyici node3. 

 

 

 puppet-wazuh-manager-master =  masterhost . Wazuh yönetici ustası. 

 

 

 puppet-wazuh-manager-worker =  workerhost . Wazuh yönetici işçi. 

 

 

 puppet-wazuh-dashboard =  dashboardhost . Wazuh panosu düğümü. 

 

 

 Sınıfın , Wazuh modülünün kurulu olduğu  wazuh::certificates Puppet sunucusunda (  puppet-server ) uygulanması gerekir. Bu, arşiv modülünün Wazuh yığın dağıtımındaki tüm sunuculara dosyaları dağıtmak için kullanılması nedeniyle gereklidir. 

 Daha fazla Wazuh dizinleyici düğümüne ihtiyacınız varsa, yeni değişkenler ekleyin. Örneğin  indexer_node4_name ve  node4host . Bunları aşağıdaki dizilere ekleyin: 

 

 

 indexer_discovery_hosts 

 

 

 indexer_cluster_initial_master_nodes 

 

 

 indexer_cluster_CN 

 

 

 indexer_certs 

 

 

 puppet-wazuh-indexer-node2 Ek olarak, veya benzeri yeni bir düğüm örneği eklemeniz gerekir  puppet-wazuh-indexer-node3 . Wazuh dizinleyici node1 örneğinin aksine, bu örnekler . çalıştırmaz  securityadmin . 

 Bir Wazuh yönetici çalışan sunucusu eklemeniz gerekirse, . gibi yeni bir değişken ekleyin  worker2host . Değişkeni diziye ekleyin  manager_worker_certs . Örneğin,  ['worker',"$worker2host"] . Ardından, düğüm örneğini  puppet-wazuh-manager-worker yeni sunucuyla çoğaltın. 

 Dosyayı  /etc/puppetlabs/code/environments/production/manifests/ Puppet master'ınıza yerleştirin. Belirtilen düğümde  runinterval , ayarlandığı gibi, zaman  puppet.conf geçtikten sonra yürütülür. Ancak, bildirimi belirli bir düğümde hemen çalıştırmak istiyorsanız, düğümde aşağıdaki komutu çalıştırın: 

 

 puppet agent -t 

 

 

 

 Wazuh Kullanıcıları İçin Şifreyi Değiştir 

 Wazuh kullanıcı parolalarınızı değiştirmek için Parola Yönetimi  bölümündeki talimatları izleyin . Parolaları değiştirdikten sonra, Wazuh Stack'i dağıtmak için kullanılan sınıflar içinde yeni parolaları ayarlayın. 

 

 Dizinleyici Kullanıcıları 

 

 

 admin kullanıcı: 

 node "puppet-agent.com" {

 class { 'wazuh::dashboard':

 dashboard_password => '<NEW_PASSWORD>'

 }

}

 

 

 

 kibanaserver kullanıcı: 

 node "puppet-agent.com" {

 class { 'wazuh::filebeat_oss':

 filebeat_oss_elastic_password => '<NEW_PASSWORD>'

 }

}

 

 

 

 

 

 Wazuh API Kullanıcıları 

 

 

 wazuh-wui kullanıcı: 

 node "puppet-agent.com" {

 class { 'wazuh::dashboard':

 dashboard_wazuh_api_credentials => '<NEW_PASSWORD>'

 }

}

 

 

 

 

 

 

 Puppet Aracılığıyla Wazuh Agent Yükleyin 

 Sınıfın kurulmasıyla ajan yapılandırılır  wazuh::agent . 

 İşte bir manifesto örneği  wazuh-agent.pp (lütfen  <MANAGER_IP_ADDRESS> yöneticinizin IP adresiyle değiştirin). 

 node "puppet-agent.com" {

 class { 'wazuh::repo':

 }

 class { "wazuh::agent":

 wazuh_register_endpoint => "<MANAGER_IP_ADDRESS>",

 wazuh_reporting_endpoint => "<MANAGER_IP_ADDRESS>"

 }

}

 

 Dosyayı Puppet ana makinenize yerleştirin ve belirtilen düğümde ayarlanan zamandan  /etc/puppetlabs/code/environments/production/manifests/ sonra yürütülecektir . Ancak, önce çalıştırmak istiyorsanız, Puppet aracısında aşağıdaki komutu deneyin. runinterval puppet.conf 

 puppet agent -t 

 

 

 Referans Wazuh Kuklası 

 

 

 

 

 Bölümler 

 

 

 Değişkenler 

 

 

 Fonksiyonlar 

 

 

 

 

 

 

 Wazuh yönetici sınıfı 

 

 

 Uyarılar 

 Yetkili 

 Küme 

 Küresel 

 Yerel dosya 

 Kök kontrolü 

 Sistem kontrolü 

 Syslog çıktısı 

 Güvenlik Açığı Tespiti 

 Wazuh API 

 Wodle sorgusu 

 Wodle Sistem Toplayıcısı 

 Çeşitli 

 

 

 e-posta_uyarısı 

 emretmek 

 aktifcevap 

 

 

 

 

 Wazuh ajan sınıfı 

 

 

 Aktif Tepki 

 Acente kaydı 

 İstemci ayarları 

 Yerel dosya 

 Kök kontrolü 

 SCA 

 Sistem kontrolü 

 Wodle sorgusu 

 Wodle Sistem Toplayıcısı 

 Çeşitli

Puppet Aracılığıyla Bir Yığın Kurun
Bu  modül  Nicolas Zin tarafından yazılmış ve Jonathan Gazeley ve Michael Porter tarafından güncellenmiştir. Wazuh, onu sürdürme amacıyla çatallamıştır. Katkılarından dolayı yazarlara teşekkür ederiz. 

 

 Wazuh Modülünü Kurun 

 Puppet Forge'dan Wazuh modülünü indirin ve kurun: 

 puppet module install wazuh-wazuh --version 4.9.2 

 

 

 Output 

 

 

 Notice: Preparing to install into /etc/puppetlabs/code/environments/production/modules ...

Notice: Downloading from https://forgeapi.puppet.com ...

Notice: Installing -- do not interrupt ...

/etc/puppetlabs/code/environments/production/modules

└─┬ wazuh-wazuh (v4.9.2)

 ├── puppet-nodejs (v7.0.1)

 ├── puppet-selinux (v3.4.1)

 ├── puppetlabs-apt (v7.7.1)

 ├─┬ puppetlabs-concat (v6.4.0)

 │ └── puppetlabs-translate (v2.2.0)

 ├── puppetlabs-firewall (v2.8.1)

 ├─┬ puppetlabs-powershell (v4.1.0)

 │ └── puppetlabs-pwshlib (v0.10.1)

 └── puppetlabs-stdlib (v6.6.0)

 

 Bu modül Wazuh aracısını ve yöneticisini kurar ve yapılandırır. 

 

 

 Puppet Aracılığıyla Bir Yığın Kurun 

 

 Tek Düğüm 

 Tek düğümlü bir yığını dağıtmak için aşağıda gösterilen bildirimi kullanabilirsiniz. Bu yığın şunlardan oluşur: 

 

 

 Wazuh gösterge paneli 

 

 

 Wazuh dizinleyici 

 

 

 Wazuh yöneticisi 

 

 

 Dosyabeat 

 

 

 Aşağıdaki içerikle  stack.pp dosyayı oluşturun : /etc/puppetlabs/code/environments/production/manifests/ 

 

 

 puppet-aio-node : Puppet aracısının ana bilgisayar adı veya IP adresi. 

 

 

 puppet-server : Wazuh modülü kurulduğunda Puppet sunucusunun ana bilgisayar adı veya IP adresi. 

 

 

 $discovery_type = 'single-node'

stage { 'certificates': }

stage { 'repo': }

stage { 'indexerdeploy': }

stage { 'securityadmin': }

stage { 'dashboard': }

stage { 'manager': }

Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]

Exec {

timeout => 0,

}

node "puppet-server" {

class { 'wazuh::certificates':

 indexer_certs => [['node-1','127.0.0.1']],

 manager_certs => [['master','127.0.0.1']],

 dashboard_certs => ['127.0.0.1'],

 stage => certificates,

}

}

node "puppet-aio-node" {

class { 'wazuh::repo':

stage => repo,

}

class { 'wazuh::indexer':

 stage => indexerdeploy,

}

class { 'wazuh::securityadmin':

stage => securityadmin

}

class { 'wazuh::manager':

 stage => manager,

}

class { 'wazuh::filebeat_oss':

 stage => manager,

}

class { 'wazuh::dashboard':

 stage => dashboard,

}

}

 

 

 

 Çoklu Düğüm 

 Aşağıdaki çoklu düğüm bildirimini kullanarak, aşağıdaki düğümlerden oluşan dağıtılmış bir yığını üç farklı sunucuya veya Sanal Makineye (VM) dağıtabilirsiniz. 

 

 

 3 dizinleyici düğümü 

 

 

 Yönetici ana düğümü 

 

 

 Yönetici işçi düğümü 

 

 

 Pano düğümü 

 

 

 Her uygulamayı yüklediğiniz sunucuların IP adreslerini mutlaka eklemelisiniz. 

 $node1host = '<WAZUH_INDEXER_NODE1_IP_ADDRESS>'

$node2host = '<WAZUH_INDEXER_NODE2_IP_ADDRESS>'

$node3host = '<WAZUH_INDEXER_NODE3_IP_ADDRESS>'

$masterhost = '<WAZUH_MANAGER_MASTER_IP_ADDRESS>'

$workerhost = '<WAZUH_MANAGER_WORKER_IP_ADDRESS>'

$dashboardhost = '<WAZUH_DASHBOARD_IP_ADDRESS>'

$indexer_node1_name = 'node1'

$indexer_node2_name = 'node2'

$indexer_node3_name = 'node3'

$master_name = 'master'

$worker_name = 'worker'

$cluster_size = '3'

$indexer_discovery_hosts = [$node1host, $node2host, $node3host]

$indexer_cluster_initial_master_nodes = [$node1host, $node2host, $node3host]

$indexer_cluster_CN = [$indexer_node1_name, $indexer_node2_name, $indexer_node3_name]

Define stage for order execution

stage { 'certificates': }

stage { 'repo': }

stage { 'indexerdeploy': }

stage { 'securityadmin': }

stage { 'dashboard': }

stage { 'manager': }

Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]

Exec {

timeout => 0,

}

node "puppet-server" {

class { 'wazuh::certificates':

 indexer_certs => [["$indexer_node1_name","$node1host" ],["$indexer_node2_name","$node2host" ],["$indexer_node3_name","$node3host" ]],

 manager_master_certs => [["$master_name","$masterhost"]],

 manager_worker_certs => [["$worker_name","$workerhost"]],

 dashboard_certs => ["$dashboardhost"],

 stage => certificates

}

class { 'wazuh::repo':

stage => repo

}

}

node "puppet-wazuh-indexer-node1" {

class { 'wazuh::repo':

stage => repo

}

class { 'wazuh::indexer':

 indexer_node_name => "$indexer_node1_name",

 indexer_network_host => "$node1host",

 indexer_node_max_local_storage_nodes => "$cluster_size",

 indexer_discovery_hosts => $indexer_discovery_hosts,

 indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,

 indexer_cluster_CN => $indexer_cluster_CN,

 stage => indexerdeploy

}

class { 'wazuh::securityadmin':

indexer_network_host => "$node1host",

stage => securityadmin

}

}

node "puppet-wazuh-indexer-node2" {

class { 'wazuh::repo':

stage => repo

}

class { 'wazuh::indexer':

 indexer_node_name => "$indexer_node2_name",

 indexer_network_host => "$node2host",

 indexer_node_max_local_storage_nodes => "$cluster_size",

 indexer_discovery_hosts => $indexer_discovery_hosts,

 indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,

 indexer_cluster_CN => $indexer_cluster_CN,

 stage => indexerdeploy

}

}

node "puppet-wazuh-indexer-node3" {

class { 'wazuh::repo':

stage => repo

}

class { 'wazuh::indexer':

 indexer_node_name => "$indexer_node3_name",

 indexer_network_host => "$node3host",

 indexer_node_max_local_storage_nodes => "$cluster_size",

 indexer_discovery_hosts => $indexer_discovery_hosts,

 indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,

 indexer_cluster_CN => $indexer_cluster_CN,

 stage => indexerdeploy

}

}

node "puppet-wazuh-manager-master" {

class { 'wazuh::repo':

stage => repo

}

class { 'wazuh::manager':

 ossec_cluster_name => 'wazuh-cluster',

 ossec_cluster_node_name => 'wazuh-master',

 ossec_cluster_node_type => 'master',

 ossec_cluster_key => '01234567890123456789012345678912',

 ossec_cluster_bind_addr => "$masterhost",

 ossec_cluster_nodes => ["$masterhost"],

 ossec_cluster_disabled => 'no',

 stage => manager

}

class { 'wazuh::filebeat_oss':

 filebeat_oss_indexer_ip => "$node1host",

 wazuh_node_name => "$master_name",

 stage => manager

}

}

node "puppet-wazuh-manager-worker" {

class { 'wazuh::repo':

stage => repo

}

class { 'wazuh::manager':

 ossec_cluster_name => 'wazuh-cluster',

 ossec_cluster_node_name => 'wazuh-worker',

 ossec_cluster_node_type => 'worker',

 ossec_cluster_key => '01234567890123456789012345678912',

 ossec_cluster_bind_addr => "$masterhost",

 ossec_cluster_nodes => ["$masterhost"],

 ossec_cluster_disabled => 'no',

 stage => manager

}

class { 'wazuh::filebeat_oss':

 filebeat_oss_indexer_ip => "$node1host",

 wazuh_node_name => "$worker_name",

 stage => manager

}

}

node "puppet-wazuh-dashboard" {

class { 'wazuh::repo':

stage => repo,

}

class { 'wazuh::dashboard':

 indexer_server_ip => "$node1host",

 manager_api_host => "$masterhost",

 stage => dashboard

}

} 

 Manifest'te açıklanan kukla düğümlerinin IP adresleriyle olan ilişkisi şu şekildedir: 

 

 

 puppet-wazuh-indexer-node1 =  node1host . Wazuh indeksleyici node1. 

 

 

 puppet-wazuh-indexer-node2 =  node2host . Wazuh indeksleyici node2. 

 

 

 puppet-wazuh-indexer-node3 =  node3host . Wazuh indeksleyici node3. 

 

 

 puppet-wazuh-manager-master =  masterhost . Wazuh yönetici ustası. 

 

 

 puppet-wazuh-manager-worker =  workerhost . Wazuh yönetici işçi. 

 

 

 puppet-wazuh-dashboard =  dashboardhost . Wazuh panosu düğümü. 

 

 

 Sınıfın , Wazuh modülünün kurulu olduğu  wazuh::certificates Puppet sunucusunda (  puppet-server ) uygulanması gerekir. Bu, arşiv modülünün Wazuh yığın dağıtımındaki tüm sunuculara dosyaları dağıtmak için kullanılması nedeniyle gereklidir. 

 Daha fazla Wazuh dizinleyici düğümüne ihtiyacınız varsa, yeni değişkenler ekleyin. Örneğin  indexer_node4_name ve  node4host . Bunları aşağıdaki dizilere ekleyin: 

 

 

 indexer_discovery_hosts 

 

 

 indexer_cluster_initial_master_nodes 

 

 

 indexer_cluster_CN 

 

 

 indexer_certs 

 

 

 puppet-wazuh-indexer-node2 Ek olarak, veya benzeri yeni bir düğüm örneği eklemeniz gerekir  puppet-wazuh-indexer-node3 . Wazuh dizinleyici node1 örneğinin aksine, bu örnekler . çalıştırmaz  securityadmin . 

 Bir Wazuh yönetici çalışan sunucusu eklemeniz gerekirse, . gibi yeni bir değişken ekleyin  worker2host . Değişkeni diziye ekleyin  manager_worker_certs . Örneğin,  ['worker',"$worker2host"] . Ardından, düğüm örneğini  puppet-wazuh-manager-worker yeni sunucuyla çoğaltın. 

 Dosyayı  /etc/puppetlabs/code/environments/production/manifests/ Puppet master'ınıza yerleştirin. Belirtilen düğümde  runinterval , ayarlandığı gibi, zaman  puppet.conf geçtikten sonra yürütülür. Ancak, bildirimi belirli bir düğümde hemen çalıştırmak istiyorsanız, düğümde aşağıdaki komutu çalıştırın: 

 puppet agent -t 

 

 

 

 Wazuh Kullanıcıları İçin Şifreyi Değiştir 

 Wazuh kullanıcı parolalarınızı değiştirmek için Parola Yönetimi  bölümündeki talimatları izleyin . Parolaları değiştirdikten sonra, Wazuh Stack'i dağıtmak için kullanılan sınıflar içinde yeni parolaları ayarlayın. 

 

 Dizinleyici Kullanıcıları 

 

 

 admin kullanıcı: 

 node "puppet-agent.com" {

 class { 'wazuh::dashboard':

 dashboard_password => '<NEW_PASSWORD>'

 }

}

 

 

 

 kibanaserver kullanıcı: 

 node "puppet-agent.com" {

 class { 'wazuh::filebeat_oss':

 filebeat_oss_elastic_password => '<NEW_PASSWORD>'

 }

}

 

 

 

 

 

 Wazuh API Kullanıcıları 

 

 

 wazuh-wui kullanıcı: 

 node "puppet-agent.com" {

 class { 'wazuh::dashboard':

 dashboard_wazuh_api_credentials => '<NEW_PASSWORD>'

 }

}

 

 

 

 

 

 

 Puppet Aracılığıyla Wazuh Agent Yükleyin 

 Sınıfın kurulmasıyla ajan yapılandırılır  wazuh::agent . 

 İşte bir manifesto örneği  wazuh-agent.pp (lütfen  <MANAGER_IP_ADDRESS> yöneticinizin IP adresiyle değiştirin). 

 node "puppet-agent.com" {

 class { 'wazuh::repo':

 }

 class { "wazuh::agent":

 wazuh_register_endpoint => "<MANAGER_IP_ADDRESS>",

 wazuh_reporting_endpoint => "<MANAGER_IP_ADDRESS>"

 }

}

 

 Dosyayı Puppet ana makinenize yerleştirin ve belirtilen düğümde ayarlanan zamandan  /etc/puppetlabs/code/environments/production/manifests/ sonra yürütülecektir . Ancak, önce çalıştırmak istiyorsanız, Puppet aracısında aşağıdaki komutu deneyin. runinterval puppet.conf 

 puppet agent -t

Wazuh Kullanıcıları İçin Şifreyi Değiştirme
Wazuh kullanıcı parolalarınızı değiştirmek için Parola Yönetimi  bölümündeki talimatları izleyin . Parolaları değiştirdikten sonra, Wazuh Stack'i dağıtmak için kullanılan sınıflar içinde yeni parolaları ayarlayın. 

 

 Dizinleyici Kullanıcıları 

 

 

 admin kullanıcı: 

 node "puppet-agent.com" {

 class { 'wazuh::dashboard':

 dashboard_password => '<NEW_PASSWORD>'

 }

}

 

 

 

 kibanaserver kullanıcı: 

 node "puppet-agent.com" {

 class { 'wazuh::filebeat_oss':

 filebeat_oss_elastic_password => '<NEW_PASSWORD>'

 }

}

 

 

 

 

 

 Wazuh API Kullanıcıları 

 

 

 wazuh-wui kullanıcı: 

 node "puppet-agent.com" {

 class { 'wazuh::dashboard':

 dashboard_wazuh_api_credentials => '<NEW_PASSWORD>'

 }

}

 

 

 

 

 

 

 Puppet Aracılığıyla Wazuh Agent Yükleyin 

 Sınıfın kurulmasıyla ajan yapılandırılır  wazuh::agent . 

 İşte bir manifesto örneği  wazuh-agent.pp (lütfen  <MANAGER_IP_ADDRESS> yöneticinizin IP adresiyle değiştirin). 

 node "puppet-agent.com" {

 class { 'wazuh::repo':

 }

 class { "wazuh::agent":

 wazuh_register_endpoint => "<MANAGER_IP_ADDRESS>",

 wazuh_reporting_endpoint => "<MANAGER_IP_ADDRESS>"

 }

}

 

 Dosyayı Puppet ana makinenize yerleştirin ve belirtilen düğümde ayarlanan zamandan  /etc/puppetlabs/code/environments/production/manifests/ sonra yürütülecektir . Ancak, önce çalıştırmak istiyorsanız, Puppet aracısında aşağıdaki komutu deneyin. runinterval puppet.conf 

 puppet agent -t

Puppet Aracılığıyla Wazuh Agent Yükleme
Sınıfın kurulmasıyla ajan yapılandırılır  wazuh::agent . 

 İşte bir manifesto örneği  wazuh-agent.pp (lütfen  <MANAGER_IP_ADDRESS> yöneticinizin IP adresiyle değiştirin). 

 node "puppet-agent.com" {

 class { 'wazuh::repo':

 }

 class { "wazuh::agent":

 wazuh_register_endpoint => "<MANAGER_IP_ADDRESS>",

 wazuh_reporting_endpoint => "<MANAGER_IP_ADDRESS>"

 }

}

 

 Dosyayı Puppet ana makinenize yerleştirin ve belirtilen düğümde ayarlanan zamandan  /etc/puppetlabs/code/environments/production/manifests/ sonra yürütülecektir . Ancak, önce çalıştırmak istiyorsanız, Puppet aracısında aşağıdaki komutu deneyin. runinterval puppet.conf 

 puppet agent -t

Wazuh Puppet Referansı