Ubuntu_docs/Wazuh_install.md

https://documentation.wazuh.com/current/installation-guide/wazuh-server/installation-assistant.html

Подключаемся к нужному серверу:

ssh igor@192.168.200.86

curl -sO https://packages.wazuh.com/4.11/wazuh-install.sh
sudo bash wazuh-install.sh -a

start https://192.168.200.86:443

Компонент Порт по умолчанию Доступ Wazuh API 55000 Внутренний Wazuh Dashboard 5601 Веб-интерфейс OpenSearch (Indexer) 9200 Только для внутреннего использования

Доступ к Dashboard: Перейди в браузере: https://<your_ip>:5601 Пользователь по умолчанию: admin Пароль: будет сгенерирован и выведен в консоли в конце установки

Альтернативно: ручная установка Если нужен кластер, тюнинг или раздельная установка компонентов, можно ставить по частям:

Wazuh Indexer (OpenSearch) → инструкция

Wazuh Dashboard → инструкция

Wazuh Manager (сервер) → инструкция

Для теста разбора лога вызвать:

sudo /var/ossec/bin/wazuh-logtest

И вставить строку:

{"exception":"","data":{"_data":"Создание роли для пользователя: anton@rebez.ru роль: Translator","_date":"2025-04-18T05:12:14.607513","user_id":156,"group_id":15,"del":false,"_user_id":3,"id":453},"level":"INFO","logger":"history","thread":"main","message":"Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator","timestamp":"2025-04-18T05:12:14.607Z"}

У меня выдало:

**Phase 1: Completed pre-decoding.
        full event: '{"exception":"","data":{"_data":"Создание роли для пользователя: anton@rebez.ru роль: Translator","_date":"2025-04-18T05:12:14.607513","user_id":156,"group_id":15,"del":false,"_user_id":3,"id":453},"level":"INFO","logger":"history","thread":"main","message":"Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator","timestamp":"2025-04-18T05:12:14.607Z"}'

**Phase 2: Completed decoding.
        name: 'json'
        data._data: 'Создание роли для пользователя: anton@rebez.ru роль: Translator'
        data._date: '2025-04-18T05:12:14.607513'
        data._user_id: '3'
        data.del: 'false'
        data.group_id: '15'
        data.id: '453'
        data.user_id: '156'
        level: 'INFO'
        logger: 'history'
        message: 'Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator'
        thread: 'main'
        timestamp: '2025-04-18T05:12:14.607Z'

Проверяем упоминание файла history в логе:

sudo less /var/log/wazuh-indexer/wazuh-cluster.log
sudo grep -i "history" /var/log/wazuh-indexer/wazuh-cluster.log

Ищем ошибки индексации:

sudo grep -i "error" /var/log/wazuh-indexer/wazuh-cluster.log

Инициализируем кластер безопасности:

/usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh \
-cd /etc/wazuh-indexer/opensearch-security/ \
-icl -nhnv \
-cacert /etc/wazuh-indexer/certs/root-ca.pem \
-cert /etc/wazuh-indexer/certs/admin.pem \
-key /etc/wazuh-indexer/certs/admin-key.pem

Проверьте конфигурацию аудита в файле /etc/wazuh-indexer/opensearch.yml:

  sudo mcedit /etc/wazuh-indexer/opensearch.yml

В нём должны быть такие настройки:

opensearch_security.audit.type: internal_opensearch
opensearch_security.audit.enable_rest: true
opensearch_security.audit.enable_transport: true

Выводим строчки с ошибками

sudo grep -i "error" /var/log/wazuh-indexer/wazuh-cluster.log