Indexer'da oluşturduğunuz wazuh-install-files.tar dosyasının bir kopyasının .sh dosyasını çalıştırdığınız dizinde olduğundan emin olun.

**Not:** Aşağıda açıklanan tüm komutları çalıştırabilmek için root kullanıcı ayrıcalıklarına sahip olmanız gerekir.

### 1. Wazuh Sunucu Düğümü Kurulumu

#### Wazuh Deposunu Ekleme

**Not:** Wazuh sunucusunu Wazuh indeksleyicisinin bulunduğu ana bilgisayara kuruyorsanız, Wazuh deposunu daha önce eklemiş olabileceğiniz için bu adımları atlayabilirsiniz.

**Yum:** 1. GPG anahtarını içe aktarın. ``` rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH ``` 2. Depoyu ekleyin. ``` echo -e '[wazuh]\ngpgcheck=1\ngpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH\nenabled=1\nname=EL-$releasever - Wazuh\nbaseurl=https://packages.wazuh.com/4.x/yum/\nprotect=1' | tee /etc/yum.repos.d/wazuh.repo ``` **APT:** 1. Eğer eksikse aşağıdaki paketleri kurun. ``` apt-get install gnupg apt-transport-https ``` 2. GPG anahtarını yükleyin. ``` curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg ``` 3. Depoyu ekleyin. ``` echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list ``` 4. Paket bilgilerini güncelleyin. ``` apt-get update ``` #### Wazuh yöneticisinin kurulumu 1. Wazuh yönetici paketini yükleyin.

**Yum:**

``` yum -y install wazuh-manager ```

**APT:**

``` apt-get update ```

#### Filebeat'i yükleme

**Yum:** ``` yum -y install filebeat ```

**APT:**

``` apt-get -y install filebeat ```

### Filebeat'i yapılandırma

1. Önceden yapılandırılmış Filebeat yapılandırma dosyasını indirin.
2. Yapılandırma dosyasını düzenleyin `/etc/filebeat/filebeat.yml`ve aşağıdaki değeri değiştirin:  
    a. `hosts`: Bağlanılacak Wazuh dizinleyici düğümlerinin listesi. IP adreslerini veya ana bilgisayar adlarını kullanabilirsiniz. Varsayılan olarak, ana bilgisayar localhost olarak ayarlanmıştır . Bunu uygun şekilde Wazuh dizinleyici adresinizle değiştirin.`hosts: ["127.0.0.1:9200"]`
    
    b. Birden fazla Wazuh dizinleyici düğümünüz varsa, adresleri virgül kullanarak ayırabilirsiniz. Örneğin,`hosts: ["10.0.0.1:9200", "10.0.0.2:9200", "10.0.0.3:9200"]`
    
    \# Wazuh - Filebeat configuration file  
     output.elasticsearch:  
     hosts: \["10.0.0.1:9200"\]  
     protocol: https  
     username: ${username}  
     password: ${password}

3. Kimlik doğrulama bilgilerini güvenli bir şekilde depolamak için bir Filebeat anahtar deposu oluşturun.  
      
    ```
    filebeat keystore create
    ```
4. Varsayılan kullanıcı adı ve parolayı `admin`: `admin`gizli anahtar deposuna ekleyin.  
    ```
    echo admin | filebeat keystore add username --stdin --force
    echo admin | filebeat keystore add password --stdin --force
    ```
5. Wazuh indeksleyicisi için uyarı şablonunu indirin.
    
    ```
    curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.9.2/extensions/elasticsearch/7.x/wazuh-template.json
    chmod go+r /etc/filebeat/wazuh-template.json
    ```
6. Filebeat için Wazuh modülünü yükleyin.  
    ```
    curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.4.tar.gz | tar -xvz -C /usr/share/filebeat/module
    ```

Sertifikaların Dağıtımı

**Not:** `wazuh-certificates.tar`İlk yapılandırma adımında oluşturulan dosyanın bir kopyasının çalışma dizininize yerleştirildiğinden emin olun .

1. ``Wazuh sunucu düğüm sertifika adınızla değiştirin , `config.yml`sertifikaları oluştururken kullanılanla aynı. Ardından, sertifikaları karşılık gelen konumlarına taşıyın.

NODE\_NAME=<SERVER\_NODE\_NAME>

``` mkdir /etc/filebeat/certs tar -xf ./wazuh-certificates.tar -C /etc/filebeat/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem mv -n /etc/filebeat/certs/$NODE_NAME.pem /etc/filebeat/certs/filebeat.pem mv -n /etc/filebeat/certs/$NODE_NAME-key.pem /etc/filebeat/certs/filebeat-key.pem chmod 500 /etc/filebeat/certs chmod 400 /etc/filebeat/certs/* chown -R root:root /etc/filebeat/certs ``` #### Wazuh Indexer Bağlantısını Yapılandırma

Not: Eğer güvenlik açığı tespit özelliğini kullanmayacaksanız bu adımı atlayabilirsiniz.

Not: Varsayılan adım adım kurulum kimlik bilgileri şunlardır `admin`:`admin`

1. Wazuh dizinleyici kullanıcı adını ve parolasını wazuh-keystore aracını kullanarak Wazuh yöneticisi anahtar deposuna kaydedin: ``` echo '' | /var/ossec/bin/wazuh-keystore -f indexer -k username echo '' | /var/ossec/bin/wazuh-keystore -f indexer -k password ``` 2. `/var/ossec/etc/ossec.conf`Dizinleyici bağlantısını yapılandırmak için düzenleyin . Varsayılan olarak, dizinleyici ayarları bir ana bilgisayara yapılandırılmıştır. Aşağıda vurgulandığı gibi ayarlanmıştır `0.0.0.0`. ``` yes https://0.0.0.0:9200 /etc/filebeat/certs/root-ca.pem /etc/filebeat/certs/filebeat.pem /etc/filebeat/certs/filebeat-key.pem ``` Wazuh dizinleyici düğüm IP adresiniz veya ana bilgisayar adınızla değiştirin `0.0.0.0`. Bu değeri Filebeat yapılandırma dosyasında bulabilirsiniz `/etc/filebeat/filebeat.yml`. Filebeat sertifikasının ve anahtar adının `/etc/filebeat/certs`. Bir Wazuh dizinleyici kümeniz varsa, ``düğümlerinizin her biri için bir giriş ekleyin. Örneğin, iki düğümlü bir yapılandırmada: ``` https://10.0.0.1:9200 https://10.0.0.2:9200 ``` Güvenlik açığı tespiti, listedeki ilk düğüme raporlamayı önceliklendirir. Kullanılabilir olmadığında bir sonraki düğüme geçer.

### Wazuh yöneticisinin başlatılması 1. Wazuh yönetici servisini etkinleştirin ve başlatın. **SysV Başlatma:** **** İşletim sisteminize göre bir seçenek seçin:

1. RPM tabanlı işletim sistemi:

``` chkconfig --add wazuh-manager service wazuh-manager start ```

2. Debian tabanlı işletim sistemi:

``` # update-rc.d wazuh-manager defaults 95 10 # service wazuh-manager start ``` **Systemd:** ``` systemctl daemon-reload systemctl enable wazuh-manager systemctl start wazuh-manager ``` 2. Wazuh yöneticisinin durumunu doğrulamak için aşağıdaki komutu çalıştırın.

**SysV Başlatma:**

``` service wazuh-manager status ```

**Systemd:**

``` systemctl status wazuh-manager ```

#### Filebeat hizmetini başlatma

1. Filebeat servisini etkinleştirin ve başlatın. **SysV Başlatma:** Kullanılan işletim sistemine göre bir seçenek seçin.

a. RPM tabanlı işletim sistemi:

``` chkconfig --add filebeat service filebeat start ```

b. Debian tabanlı işletim sistemi:

``` update-rc.d filebeat defaults 95 10 service filebeat start ``` **Systemd:** ``` systemctl daemon-reload systemctl enable filebeat systemctl start filebeat ``` 2. Filebeat'in başarıyla yüklendiğini doğrulamak için aşağıdaki komutu çalıştırın. ``` filebeat test output ``` Örnek yanıtı görmek için çıktıyı genişletin.

Output

``` elasticsearch: https://127.0.0.1:9200... parse url... OK connection... parse host... OK dns lookup... OK addresses: 127.0.0.1 dial up... OK TLS... security: server's certificate chain verification is enabled handshake... OK TLS version: TLSv1.3 dial up... OK talk to server... OK version: 7.10.2 ```

Wazuh sunucu düğümünüz artık başarıyla kuruldu. Kurulum sürecinin bu aşamasını Wazuh kümenizdeki her Wazuh sunucu düğümü için tekrarlayın, ardından Wazuh kümesini yapılandırmaya devam edin. Wazuh sunucusu tek düğümlü bir küme istiyorsanız, her şey ayarlanmıştır ve doğrudan Wazuh panosunu [adım adım yükleme](https://acikkaynak.lastguard.com.tr/books/kurulum-rehberi/page/adim-adim-kurulum-aWD) ile devam edebilirsiniz .

Amazon Linux 2, Amazon Linux 2023	CentOS 7, 8
Red Hat Enterprise Linux 7, 8, 9	Ubuntu 16.04, 18.04, 20.04, 22.04, 24.04

	Minimum		Önerilen
Component	RAM (GB)	CPU (cores)	RAM (GB)	CPU (cores)
Wazuh Indexer	2	2	4	8

Monitör edilen endpointler	APS	Wazuh Indexer depolama (GB/90 gün)
Sunucular	0.25	0.1
Workstationlar	0.1	0.04
Ağ cihazları	0.5	0.2