在 Ubuntu/Debian 上安装 Wazuh 代理的简单方法

在本教程中，您将学习如何在 Ubuntu/Debian 系统上安装 Wazuh 代理。 Wazuh 在服务器-客户端架构中运行。 它由 Wazuh 服务器和 Wazuh 代理组成。

Wazuh 代理从端点收集数据并将其发送到 Wazuh 管理器进行处理。 它能够；

• 日志和数据收集
• 文件完整性监控
• Rootkit 和恶意软件检测
• 安全策略监控。
• 配置评估
• 软件发明者

在 Ubuntu/Debian 上安装 Wazuh 代理的简单方法

Wazuh 代理可以安装在各种平台上，包括 AIX、HP-UX、Solaris、Windows 系统。 但是，本教程重点介绍如何在 Ubuntu/Debian Linux 系统上安装 Wazuh 代理。

在 Ubuntu/Debian 上安装 Wazuh 代理

Wazuh 提供了 APT 存储库，可以轻松地在 Ubuntu/Debian 系统上安装 Wazuh 代理。

因此，要使用 Wazuh APT repos 在 Ubuntu/Debian 系统上安装 Wazuh 代理：

• 安装存储库 GPG 签名密钥

apt install curl

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -

• 添加 Wazuh 存储库：

echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

• 更新系统包缓存：

apt update

在 Ubuntu/Debian 上安装 Wazuh 代理

现在 repos 已设置，您可以继续安装 Wazuh 代理。 但是，这里有两个选择

• 安装并手动注册代理
• 安装并自动注册 Wazuh 代理

安装并手动注册代理

所以如果您需要安装代理，稍后将其添加到服务器进行手动注册，只需运行以下命令即可安装它；

apt install wazuh-agent

如果你选择这种方式安装Wazuh代理，那么你需要通过运行以下命令将代理添加到服务器（在安装了代理的服务器上）：

/var/ossec/bin/agent-auth -m MANAGER-IP [-A AGENT_NAME]

要使用自动系统主机名注册代理，只需省略 [-A AGENT_NAME].

但是，在继续之前，请确保您可以连接到 Wazuh-manager 注册端口 1515/TCP。 确保此端口在防火墙上打开（如果有）正在运行。

telnet 192.168.59.17 1515

Trying 192.168.59.17... Connected to 192.168.59.17. Escape character is '^]'.

/var/ossec/bin/agent-auth -m 192.168.59.17

示例命令输出；

2021/05/26 11:12:09 agent-auth: INFO: Started (pid: 5662). 2021/05/26 11:12:09 agent-auth: INFO: Requesting a key from server: 192.168.59.17 2021/05/26 11:12:09 agent-auth: INFO: No authentication password provided 2021/05/26 11:12:09 agent-auth: INFO: Using agent name as: debian10 2021/05/26 11:12:09 agent-auth: INFO: Waiting for server reply 2021/05/26 11:12:09 agent-auth: INFO: Valid key received

接下来在Wazuh配置文件中设置Wazuh服务器IP， /var/ossec/etc/ossec.conf.

简单地将 MANAGER_IP 替换为 IP 地址；

sed -i 's/MANAGER_IP/192.168.59.17/' /var/ossec/etc/ossec.conf

安装并自动注册 Wazuh 代理

要安装并自动注册您的 Wazuh 代理，请执行以下命令。 相应地替换 Wazuh-manager IP。

WAZUH_MANAGER="192.168.59.17" apt install wazuh-agent

您可以在变量页面上看到其他部署变量。

安装完成后，如果您在 Wazuh 管理器上列出代理，您应该看到代理已注册但未连接。

/var/ossec/bin/agent_control -l

Wazuh agent_control. List of available agents:    ID: 000, Name: elk.kifarunix-demo.com (server), IP: 127.0.0.1, Active/Local    ID: 001, Name: ubuntu20, IP: any, Never connected    ID: 002, Name: debian10, IP: any, Never connected  List of agentless devices:

确保没有主机共享相同的名称.

运行 Wazuh 代理

安装并注册代理后，启动并启用代理以在系统引导时运行：

在此之前，您需要知道，默认情况下，Wazuh 期望代理通过 1514/TCP 与其通信。

因此，如果防火墙正在运行，请确保在 Wazuh 服务器上打开此端口。

systemctl enable --now wazuh-agent.service

一定要检查日志；

tail -f /var/ossec/logs/ossec.log

检查 Wazuh 代理状态

验证代理现在已连接到服务器并处于活动状态；

/var/ossec/bin/agent_control -l

Wazuh agent_control. List of available agents:    ID: 000, Name: elk.kifarunix-demo.com (server), IP: 127.0.0.1, Active/Local    ID: 001, Name: ubuntu20, IP: any, Active    ID: 003, Name: debian10, IP: any, Active  List of agentless devices:

您也可以从 Wazuh 界面进行验证。 想知道如何？ 请参阅我们关于将 Wazuh 服务器与 ELK 堆栈集成的指南。

将 Wazuh Manager 与 ELK Stack 集成

然后，您可以查看从系统收集的事件。

这就是在 Ubuntu/Debian 上安装 Wazuh Agents 所需的全部内容。

参考

Wazuh 代理安装

在 CentOS 8/ 中安装和设置 Wazuh 服务器Fedora 32

在 Ubuntu 20.04 上安装 OSSEC HIDS 代理

在 CentOS 8 上安装 OSSEC 代理

在 Debian 10 Buster 上安装 OSSEC 代理