По директориям раскидал
This commit is contained in:
129
Observing/Wazuh_install.md
Normal file
129
Observing/Wazuh_install.md
Normal file
@ -0,0 +1,129 @@
|
||||
https://documentation.wazuh.com/current/installation-guide/wazuh-server/installation-assistant.html
|
||||
|
||||
Connectiong to server:
|
||||
```sh
|
||||
ssh igor@192.168.200.86
|
||||
```
|
||||
Execute installation commman:
|
||||
```sh
|
||||
curl -sO https://packages.wazuh.com/4.11/wazuh-install.sh &&
|
||||
sudo bash wazuh-install.sh -a
|
||||
```
|
||||
|
||||
20/04/2025 12:07:15 INFO: You can access the web interface https://<wazuh-dashboard-ip>:443
|
||||
User: admin
|
||||
Password: LsR1i+*DT6Az37rBDTnuyw54wB+Ce*1+
|
||||
|
||||
|
||||
debian virtual box
|
||||
admin
|
||||
KD7Iv+BCJkARvxPA6UYp+HdxhacTUNy6
|
||||
|
||||
|
||||
```sh
|
||||
open https://127.0.0.1:443
|
||||
```
|
||||
Компонент Порт по умолчанию Доступ
|
||||
Wazuh API 55000 Внутренний
|
||||
Wazuh Dashboard 5601 Веб-интерфейс
|
||||
OpenSearch (Indexer) 9200 Только для внутреннего использования
|
||||
|
||||
Доступ к Dashboard:
|
||||
Перейди в браузере: https://<your_ip>:5601
|
||||
Пользователь по умолчанию: admin
|
||||
Пароль: будет сгенерирован и выведен в консоли в конце установки
|
||||
|
||||
|
||||
Альтернативно: ручная установка
|
||||
Если нужен кластер, тюнинг или раздельная установка компонентов, можно ставить по частям:
|
||||
|
||||
Wazuh Indexer (OpenSearch) → инструкция
|
||||
|
||||
Wazuh Dashboard → инструкция
|
||||
|
||||
Wazuh Manager (сервер) → инструкция
|
||||
|
||||
|
||||
Для теста разбора лога вызвать:
|
||||
```sh
|
||||
sudo /var/ossec/bin/wazuh-logtest
|
||||
```
|
||||
И вставить строку:
|
||||
```json
|
||||
{"exception":"","data":{"_data":"Создание роли для пользователя: anton@rebez.ru роль: Translator","_date":"2025-04-18T05:12:14.607513","user_id":156,"group_id":15,"del":false,"_user_id":3,"id":453},"level":"INFO","logger":"history","thread":"main","message":"Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator","timestamp":"2025-04-18T05:12:14.607Z"}
|
||||
```
|
||||
У меня выдало:
|
||||
```log
|
||||
**Phase 1: Completed pre-decoding.
|
||||
full event: '{"exception":"","data":{"_data":"Создание роли для пользователя: anton@rebez.ru роль: Translator","_date":"2025-04-18T05:12:14.607513","user_id":156,"group_id":15,"del":false,"_user_id":3,"id":453},"level":"INFO","logger":"history","thread":"main","message":"Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator","timestamp":"2025-04-18T05:12:14.607Z"}'
|
||||
|
||||
**Phase 2: Completed decoding.
|
||||
name: 'json'
|
||||
data._data: 'Создание роли для пользователя: anton@rebez.ru роль: Translator'
|
||||
data._date: '2025-04-18T05:12:14.607513'
|
||||
data._user_id: '3'
|
||||
data.del: 'false'
|
||||
data.group_id: '15'
|
||||
data.id: '453'
|
||||
data.user_id: '156'
|
||||
level: 'INFO'
|
||||
logger: 'history'
|
||||
message: 'Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator'
|
||||
thread: 'main'
|
||||
timestamp: '2025-04-18T05:12:14.607Z'
|
||||
```
|
||||
|
||||
Проверяем упоминание файла history в логе:
|
||||
```sh
|
||||
sudo less /var/log/wazuh-indexer/wazuh-cluster.log
|
||||
sudo grep -i "history" /var/log/wazuh-indexer/wazuh-cluster.log
|
||||
```
|
||||
|
||||
Ищем ошибки индексации:
|
||||
```sh
|
||||
sudo grep -i "error" /var/log/wazuh-indexer/wazuh-cluster.log
|
||||
```
|
||||
|
||||
|
||||
|
||||
|
||||
Временно отключаю аудит:
|
||||
```sh
|
||||
sudo mcedit /etc/wazuh-indexer/opensearch-security/audit.yml
|
||||
```
|
||||
|
||||
Инициализируем кластер безопасности (после отключения аудита перенастраиваем):
|
||||
```sh
|
||||
sudo -u wazuh-indexer /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh \
|
||||
-cd /etc/wazuh-indexer/opensearch-security/ \
|
||||
-icl -nhnv \
|
||||
-cacert /etc/wazuh-indexer/certs/root-ca.pem \
|
||||
-cert /etc/wazuh-indexer/certs/admin.pem \
|
||||
-key /etc/wazuh-indexer/certs/admin-key.pem
|
||||
```
|
||||
|
||||
Перезагружаем после применения настроек
|
||||
```sh
|
||||
sudo systemctl restart wazuh-indexer
|
||||
```
|
||||
|
||||
|
||||
Проверьте конфигурацию аудита в файле /etc/wazuh-indexer/opensearch.yml:
|
||||
```sh
|
||||
sudo mcedit /etc/wazuh-indexer/opensearch.yml
|
||||
```
|
||||
|
||||
В нём должны быть такие настройки:
|
||||
```conf
|
||||
opensearch_security.audit.type: internal_opensearch
|
||||
opensearch_security.audit.enable_rest: true
|
||||
opensearch_security.audit.enable_transport: true
|
||||
```
|
||||
|
||||
Выводим строчки с ошибками
|
||||
```sh
|
||||
sudo grep -i "error" /var/log/wazuh-indexer/wazuh-cluster.log
|
||||
```
|
||||
|
||||
|
||||
sudo chown -R wazuh-indexer:wazuh-indexer /etc/wazuh-indexer /var/lib/wazuh-indexer /var/log/wazuh-indexer
|
||||
Reference in New Issue
Block a user