「原创首发」安全日志管理中心实战(5)——开源HIDS之Wazuh部署

一、前言

因生产环境部分机器已经安装有ossec-agent，考虑到内部环境统一及管理，其他的HIDS就未测试，直接测试当前ossec-3.3.1版本的，并与前期的ELK 7.6.2 wazuh-server 3.12.1做对接测试，最终上线生产，server端使用的系统为centos6.X版本，其实我个人喜欢次新版，但考虑到保留旧团队遗留的成果以及推广的方法，没有舍弃，后续证明我的想法是错误的，版本较老，bug不少。

二、wazuh&api安装

安装没什么难度

方法一

git clone https://github.com/wazuh/wazuh.git
cd wazuh
sudo ./install.sh

后续选择语言，安装角色，安装模块，是否email，是否active-response等，自己根据需求选择；

方法二

可以参考官方文档，使用repo安装

https://documentation.wazuh.com/3.12/installation-guide/index.html

安装wazuh-api

cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF

curl --silent --location https://rpm.nodesource.com/setup_10.x | bash -
yum install nodejs
node -v 查看版本
yum install wazuh-api          //若是想要装server，也可以通过本方法install wazuh-server, wazuh-agent
cd /var/ossec/api/configuration/auth/
cat user 查看默认的账密
node htpasswd -c user AAAA 设置用户AAAA的密码，默认账密请删除，foo，bar
cat user 查看结果
因为没有使用https，所以需要关闭该功能
cd /var/ossec/api/configuration
vi config.js   //见下图
 

service wazuh-api restart
service wazuh-api status

三、kibana部署wazuh-app插件

主要是通过kibana调用wazuh的信息

find /* -name kibana-plugin

切换到对应目录，参考文档

https://documentation.wazuh.com/3.12/installation-guide/installing-elastic-stack/elastic_server_deb.html?highlight=template

sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.12.3_7.6.2.zip
cd /usr/share/kibana/optimize/wazuh/config
sudo vi wazuh.yml   //hosts下方的内容，主要是真实的wazuh-server的url，端口，用户和密码
sudo service kibana restart  //使wazuhapp生效，重启成功后可以在kibana主页看到图标

若中间出错或后续卸载了wazuhapp，又重装了，会报错

通过journalctl –xe ，发现最后有两个错误，链接es失败和kibana已经有一个索引了。。。Another Kibana instance appears to be migrating the ind

解决方案：

1. sudo -u kibana /usr/share/kibana/bin/kibana-plugin remove wazuh app

2. sudo curl -X DELETE http://10.10.10.74:9200/.kibana_1

3. sudo service kibana restart 结果还是失败

browserslist:caniuse-lite is outdated. please run next command 'npm update'.

4. sudo apt install npm

5. sudo npm update caniuse-lite browserslist

6. service kibana restart 成功

登录10.10.10.74:5601

四、导入ES模板

curl http://10.10.10.74:9200/_template/wazuh

{} //这是结果

那我们将最新版本的模板导入到es中，导完后重新使用上面的curl命令进行确认，不为空基本ok了，再次访问kibana中的wazuhapp

curl https://raw.githubusercontent.com/wazuh/wazuh/3.12/extensions/elasticsearch/7.x/wazuh-template.json | curl -XPUT 'http://10.10.10.74:9200/_template/wazuh' -H 'Content-Type: application/json' -d @-

五、kibana中设置wazuh-app链接

图中的参数与/var/ossec/api/configuration/config.js保持一致即可，配置完成后可以check下。

链接成功后会在wazuh-app的主页面显示

上图是真实的生产中目前推广的结果，还在推广中，也遇到不少问题，还在解决ing，主要是基础环境问题和依赖问题；图中的security events ,integrity monitor, vuln scan等可以见进去查看效果，我这里不一一点开上传了，这些内容主要是wazuh-server和agent的配置，咱们下篇见。