105 lines
4.1 KiB
Markdown
105 lines
4.1 KiB
Markdown
|
||
https://documentation.wazuh.com/current/installation-guide/wazuh-server/installation-assistant.html
|
||
|
||
Подключаемся к нужному серверу:
|
||
```sh
|
||
ssh igor@192.168.200.86
|
||
```
|
||
|
||
```sh
|
||
curl -sO https://packages.wazuh.com/4.11/wazuh-install.sh
|
||
sudo bash wazuh-install.sh -a
|
||
```
|
||
|
||
```sh
|
||
start https://192.168.200.86:443
|
||
```
|
||
Компонент Порт по умолчанию Доступ
|
||
Wazuh API 55000 Внутренний
|
||
Wazuh Dashboard 5601 Веб-интерфейс
|
||
OpenSearch (Indexer) 9200 Только для внутреннего использования
|
||
|
||
Доступ к Dashboard:
|
||
Перейди в браузере: https://<your_ip>:5601
|
||
Пользователь по умолчанию: admin
|
||
Пароль: будет сгенерирован и выведен в консоли в конце установки
|
||
|
||
|
||
Альтернативно: ручная установка
|
||
Если нужен кластер, тюнинг или раздельная установка компонентов, можно ставить по частям:
|
||
|
||
Wazuh Indexer (OpenSearch) → инструкция
|
||
|
||
Wazuh Dashboard → инструкция
|
||
|
||
Wazuh Manager (сервер) → инструкция
|
||
|
||
|
||
Для теста разбора лога вызвать:
|
||
```sh
|
||
sudo /var/ossec/bin/wazuh-logtest
|
||
```
|
||
И вставить строку:
|
||
```json
|
||
{"exception":"","data":{"_data":"Создание роли для пользователя: anton@rebez.ru роль: Translator","_date":"2025-04-18T05:12:14.607513","user_id":156,"group_id":15,"del":false,"_user_id":3,"id":453},"level":"INFO","logger":"history","thread":"main","message":"Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator","timestamp":"2025-04-18T05:12:14.607Z"}
|
||
```
|
||
У меня выдало:
|
||
```log
|
||
**Phase 1: Completed pre-decoding.
|
||
full event: '{"exception":"","data":{"_data":"Создание роли для пользователя: anton@rebez.ru роль: Translator","_date":"2025-04-18T05:12:14.607513","user_id":156,"group_id":15,"del":false,"_user_id":3,"id":453},"level":"INFO","logger":"history","thread":"main","message":"Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator","timestamp":"2025-04-18T05:12:14.607Z"}'
|
||
|
||
**Phase 2: Completed decoding.
|
||
name: 'json'
|
||
data._data: 'Создание роли для пользователя: anton@rebez.ru роль: Translator'
|
||
data._date: '2025-04-18T05:12:14.607513'
|
||
data._user_id: '3'
|
||
data.del: 'false'
|
||
data.group_id: '15'
|
||
data.id: '453'
|
||
data.user_id: '156'
|
||
level: 'INFO'
|
||
logger: 'history'
|
||
message: 'Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator'
|
||
thread: 'main'
|
||
timestamp: '2025-04-18T05:12:14.607Z'
|
||
```
|
||
|
||
Проверяем упоминание файла history в логе:
|
||
```sh
|
||
sudo less /var/log/wazuh-indexer/wazuh-cluster.log
|
||
sudo grep -i "history" /var/log/wazuh-indexer/wazuh-cluster.log
|
||
```
|
||
|
||
Ищем ошибки индексации:
|
||
```sh
|
||
sudo grep -i "error" /var/log/wazuh-indexer/wazuh-cluster.log
|
||
```
|
||
|
||
Инициализируем кластер безопасности:
|
||
```sh
|
||
/usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh \
|
||
-cd /etc/wazuh-indexer/opensearch-security/ \
|
||
-icl -nhnv \
|
||
-cacert /etc/wazuh-indexer/certs/root-ca.pem \
|
||
-cert /etc/wazuh-indexer/certs/admin.pem \
|
||
-key /etc/wazuh-indexer/certs/admin-key.pem
|
||
```
|
||
|
||
|
||
Проверьте конфигурацию аудита в файле /etc/wazuh-indexer/opensearch.yml:
|
||
```sh
|
||
sudo mcedit /etc/wazuh-indexer/opensearch.yml
|
||
```
|
||
|
||
В нём должны быть такие настройки:
|
||
```conf
|
||
opensearch_security.audit.type: internal_opensearch
|
||
opensearch_security.audit.enable_rest: true
|
||
opensearch_security.audit.enable_transport: true
|
||
```
|
||
|
||
Выводим строчки с ошибками
|
||
```sh
|
||
sudo grep -i "error" /var/log/wazuh-indexer/wazuh-cluster.log
|
||
```
|