Skip to main content

Wazuh Indexer

Wazuh dizinleyicisi, son derece ölçeklenebilir, tam metin arama ve analiz motorudur. Bu Wazuh merkezi bileşeni, Wazuh sunucusu tarafından oluşturulan uyarıları dizinler ve depolar.depolar Neredeyseve neredeyse gerçek zamanlı veri arama ve analiz yetenekleri sağlar. Wazuh bileşenleri hakkında daha fazla bilgi edinmek istiyorsanız başlarken bölümüne bakın.

Wazuh dizinleyicisini tek bir ana bilgisayara yükleyebilirsiniz. Alternatif olarak, birden fazla düğümde dağıtılmış olarak, bir küme yapılandırmasında yükleyebilirsiniz. Bu;dizinleyicisi, ölçeklenebilirlik,eklenebilirlik ve yüksek kullanılabilirlik ve gelişmiş performans sağlar.

Aşağıdaki gereksinimleri kontrol edin ve Wazuh indeksleyicisini yüklemeye başlamak için bir yükleme yöntemi seçin.

  • Destekli kurulum : Bu bileşeni, kurulum ve yapılandırma sürecini otomatikleştiren bir yardımcı çalıştırarak kurun.
  • Adım adım kurulum : Bu bileşeni, ayrıntılı adım adım talimatları izleyerek kurun.

Gereksinimler

Wazuh dizinleyici kurulumu için desteklenen işletim sistemlerini ve önerilen donanım gereksinimlerini kontrol edin. Sistem ortamınızın tüm gereksinimleri karşıladığından ve kök kullanıcı ayrıcalıklarına sahip olduğunuzdan emin olun.

Önerilen işletim sistemleri

Wazuh 64-bit Linux işletim sistemine kurulabilir. Wazuh aşağıdaki işletim sistemi sürümlerini destekler:

Amazon Linux 2, Amazon Linux 2023

CentOS 7, 8

Red Hat Enterprise Linux 7, 8, 9

Ubuntu 16.04, 18.04, 20.04, 22.04, 24.04

Donanım önerileri

Wazuh indeksleyicisilayan tek düğümlü veya çok düğümlü bir küme olarak kurulabilir.yapılandırılabilir.

    Wazuh

  • dizinleyicisi verileri JSON belgeleri olarak depolar. Her belge, bir dizi anahtar, alan adı veya özelliği, dizeler, sayılar, boole değerleri, tarihler, değer dizileri, coğrafi konumlar veya diğer veri türleri olabilen karşılık gelen değerleriyle ilişkilendirir.

    Bir dizin, birbirleriyle ilişkili belgelerin bir koleksiyonudur. Wazuh dizinleyicisinde depolanan belgeler, parçalar olarak bilinen farklı kapsayıcılara dağıtılır. Belgeleri birden fazla parçaya ve bu parçaları birden fazla düğüme dağıtarak, Wazuh dizinleyici yedekliliği sağlayabilir. Bu, sisteminizi donanım arızalarına karşı korur ve düğümler bir kümeye eklendikçe sorgu kapasitesini artırır.

    Wazuh farklı olay türlerini depolamak için donanımdört önerileri

    • farklı
endeks kullanır:

MinimumDizin

Recommended

Component

RAM (GB)

CPU (cores)

RAM (GB)

CPU (cores)Tanım

Wazuhwazuh indexer‑ uyarılar

4

2

16

8

Veri miktarı, saniyede üretilen uyarılara (APS) bağlıdır. Bu tablo, izlenen uç noktaların türüne bağlı olarak, bir Wazuh dizinleyici sunucusunda 90 günlükoluşturulan uyarıları depolamakdepolar için. ajanBunlar, başınabir gerekenolay tahminiyeterince diskyüksek alanınıönceliğe ayrıntılısahip olarakbir açıklar.

kuralı tetiklediğindeherseferinde sunucusu 
oluşturulur

Monitored(bu endpoints

eşik

APS
Storage in Wazuh indexer
(GB/90 days)

Servers

0.25

3.7yapılandırılabilir).

Workstationswazuh ‑ arşivler

0.1

Wazuh 		tarafından

1.5alınan tüm olayları (arşiv verileri) , bir kuralı tetikleyip tetiklemediğine bakılmaksızın depolar.

Networkwazuh devices‑ izleme

0.5Wazuh aracı durumuyla ilgili verileri zaman içinde depolar. Web arayüzü tarafından bireysel aracıların ne zaman olduğunu veya olduğunu göstermek için kullanılır ActiveDisconnected, veya .Never connected

wazuh ‑ istatistikler

7.4Wazuh sunucu performansıyla ilgili verileri depolar . Web arayüzü tarafından performans istatistiklerini temsil etmek için kullanılır.
Wazuh dizinleyici

Örnek sorgu

Örneğin,Wazuh 80dizinleyici kümesiyle etkileşime girebilirsiniz, bu da çok fazla esneklik sunar. Aramalar yapabilir, belgeler ekleyebilir veya silebilir, dizinleri değ istasyonu, 10 sunucutirebilir ve 10daha fazlasını cihazıyapabilirsiniz.

İşte SSH tekniğini kullanarak son yanal hareket uyarısın bulunduğudöndüren Wazuh indeksleyicisine bir ortamsorgu için,örneği:

GET /wazuh-alerts-4.x-*/_search
{
  "query": {
    "bool": {
      "must": [
        {"term": { "rule.mitre.tactic": "Lateral Movement" } },
        {"term": { "rule.mitre.technique": "SSH" } }
      ]
    }
  },
  "sort": [
    { "timestamp": { "order": "desc" } }
  ],
  "size": 1
}

Aşağıda, dizinlenmiş uyarı belgesinin bir parçası olan sorgu sonucunun bir özeti yer almaktadır:

Output
{
   "timestamp" : "2022-04-24T17:24:56.110+0000",
   "agent" : {
    "ip" : "10.0.1.52",
    "name" : "Amazon",
    "id" : "001"
   },
   "data" : {
     "srcip" : "68.183.216.91",
     "srcport" : "53820"
   },
   "rule" : {
     "description" : "sshd: insecure connection attempt (scan).",
     "id" : "5706",
     "level" : 6,
     "pci_dss" : ["11.4"],
     "mitre" : {
       "technique" : [
         "SSH"
       ],
       "id" : ["T1021.004"],
       "tactic" : [
         "Lateral Movement"
      ]
     }
   },
   "full_log" : "Apr 24 17:24:55 ip-10-0-1-52 sshd[32179]: Did not receive identification string from 68.183.216.91 port 53820",
   "location" : "/var/log/secure",
   "predecoder" : {
     "hostname" : "ip-10-0-1-52",
     "program_name" : "sshd",
     "timestamp" : "Apr 24 17:24:55"
   },
   "decoder" : {
     "parent" : "sshd",
     "name" : "sshd"
   },
   "GeoLocation" : {
     "city_name" : "Frankfurt am Main",
     "country_name" : "Germany",
     "region_name" : "Hesse"
   }
}

Wazuh indeksleyicidizinleyicisi, sunucusundaneredeyse 90gerçek günlükzamanlı uyarılarbir arama platformu olduğu için ihtiyaçgüvenlik duyulananalitiği depolamave alanıaltyapı 230izleme GB'tıgibi zamana duyarlı kullanım durumları için oldukça uygundur. Bir belgenin dizine eklenmesinden aranabilir hale gelmesine kadar geçen gecikme süresi çok kısadır, genellikle bir saniyedir.

Wazuh indeksleyicisinin hızı, ölçeklenebilirliği ve dayanıklılığının yanı sıra, veri toplama, uyarı, anormallik tespiti ve indeks yaşam döngüsü yönetimi gibi verileri depolamayı ve aramayı daha da verimli hale getiren çeşitli yerleşik özellikleri vardır.

Back to top