https://documentation.wazuh.com/current/installation-guide/wazuh-server/installation-assistant.html Connectiong to server: ```sh ssh igor@192.168.200.86 ``` Execute installation commman: ```sh curl -sO https://packages.wazuh.com/4.11/wazuh-install.sh && sudo bash wazuh-install.sh -a ``` 20/04/2025 12:07:15 INFO: You can access the web interface https://:443 User: admin Password: LsR1i+*DT6Az37rBDTnuyw54wB+Ce*1+ debian virtual box admin KD7Iv+BCJkARvxPA6UYp+HdxhacTUNy6 ```sh open https://127.0.0.1:443 ``` Компонент Порт по умолчанию Доступ Wazuh API 55000 Внутренний Wazuh Dashboard 5601 Веб-интерфейс OpenSearch (Indexer) 9200 Только для внутреннего использования Доступ к Dashboard: Перейди в браузере: https://:5601 Пользователь по умолчанию: admin Пароль: будет сгенерирован и выведен в консоли в конце установки Альтернативно: ручная установка Если нужен кластер, тюнинг или раздельная установка компонентов, можно ставить по частям: Wazuh Indexer (OpenSearch) → инструкция Wazuh Dashboard → инструкция Wazuh Manager (сервер) → инструкция Для теста разбора лога вызвать: ```sh sudo /var/ossec/bin/wazuh-logtest ``` И вставить строку: ```json {"exception":"","data":{"_data":"Создание роли для пользователя: anton@rebez.ru роль: Translator","_date":"2025-04-18T05:12:14.607513","user_id":156,"group_id":15,"del":false,"_user_id":3,"id":453},"level":"INFO","logger":"history","thread":"main","message":"Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator","timestamp":"2025-04-18T05:12:14.607Z"} ``` У меня выдало: ```log **Phase 1: Completed pre-decoding. full event: '{"exception":"","data":{"_data":"Создание роли для пользователя: anton@rebez.ru роль: Translator","_date":"2025-04-18T05:12:14.607513","user_id":156,"group_id":15,"del":false,"_user_id":3,"id":453},"level":"INFO","logger":"history","thread":"main","message":"Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator","timestamp":"2025-04-18T05:12:14.607Z"}' **Phase 2: Completed decoding. name: 'json' data._data: 'Создание роли для пользователя: anton@rebez.ru роль: Translator' data._date: '2025-04-18T05:12:14.607513' data._user_id: '3' data.del: 'false' data.group_id: '15' data.id: '453' data.user_id: '156' level: 'INFO' logger: 'history' message: 'Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator' thread: 'main' timestamp: '2025-04-18T05:12:14.607Z' ``` Проверяем упоминание файла history в логе: ```sh sudo less /var/log/wazuh-indexer/wazuh-cluster.log sudo grep -i "history" /var/log/wazuh-indexer/wazuh-cluster.log ``` Ищем ошибки индексации: ```sh sudo grep -i "error" /var/log/wazuh-indexer/wazuh-cluster.log ``` Временно отключаю аудит: ```sh sudo mcedit /etc/wazuh-indexer/opensearch-security/audit.yml ``` Инициализируем кластер безопасности (после отключения аудита перенастраиваем): ```sh sudo -u wazuh-indexer /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh \ -cd /etc/wazuh-indexer/opensearch-security/ \ -icl -nhnv \ -cacert /etc/wazuh-indexer/certs/root-ca.pem \ -cert /etc/wazuh-indexer/certs/admin.pem \ -key /etc/wazuh-indexer/certs/admin-key.pem ``` Перезагружаем после применения настроек ```sh sudo systemctl restart wazuh-indexer ``` Проверьте конфигурацию аудита в файле /etc/wazuh-indexer/opensearch.yml: ```sh sudo mcedit /etc/wazuh-indexer/opensearch.yml ``` В нём должны быть такие настройки: ```conf opensearch_security.audit.type: internal_opensearch opensearch_security.audit.enable_rest: true opensearch_security.audit.enable_transport: true ``` Выводим строчки с ошибками ```sh sudo grep -i "error" /var/log/wazuh-indexer/wazuh-cluster.log ``` sudo chown -R wazuh-indexer:wazuh-indexer /etc/wazuh-indexer /var/lib/wazuh-indexer /var/log/wazuh-indexer