Ubuntu_docs/Observing/Wazuh_install.md

https://documentation.wazuh.com/current/installation-guide/wazuh-server/installation-assistant.html

Connectiong to server:
```sh
ssh igor@192.168.200.86
```
Execute installation commman:
```sh
curl -sO https://packages.wazuh.com/4.11/wazuh-install.sh &&
sudo bash wazuh-install.sh -a
```

20/04/2025 12:07:15 INFO: You can access the web interface https://<wazuh-dashboard-ip>:443
    User: admin
    Password: LsR1i+*DT6Az37rBDTnuyw54wB+Ce*1+


debian virtual box
admin
KD7Iv+BCJkARvxPA6UYp+HdxhacTUNy6


```sh
open https://127.0.0.1:443
```
Компонент	Порт по умолчанию	Доступ
Wazuh API	55000	Внутренний
Wazuh Dashboard	5601	Веб-интерфейс
OpenSearch (Indexer)	9200	Только для внутреннего использования

Доступ к Dashboard:
Перейди в браузере: https://<your_ip>:5601
Пользователь по умолчанию: admin
Пароль: будет сгенерирован и выведен в консоли в конце установки


Альтернативно: ручная установка
Если нужен кластер, тюнинг или раздельная установка компонентов, можно ставить по частям:

Wazuh Indexer (OpenSearch) → инструкция

Wazuh Dashboard → инструкция

Wazuh Manager (сервер) → инструкция


Для теста разбора лога вызвать:
```sh
sudo /var/ossec/bin/wazuh-logtest
```
И вставить строку:
```json
{"exception":"","data":{"_data":"Создание роли для пользователя: anton@rebez.ru роль: Translator","_date":"2025-04-18T05:12:14.607513","user_id":156,"group_id":15,"del":false,"_user_id":3,"id":453},"level":"INFO","logger":"history","thread":"main","message":"Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator","timestamp":"2025-04-18T05:12:14.607Z"}
```
У меня выдало:
```log
**Phase 1: Completed pre-decoding.
        full event: '{"exception":"","data":{"_data":"Создание роли для пользователя: anton@rebez.ru роль: Translator","_date":"2025-04-18T05:12:14.607513","user_id":156,"group_id":15,"del":false,"_user_id":3,"id":453},"level":"INFO","logger":"history","thread":"main","message":"Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator","timestamp":"2025-04-18T05:12:14.607Z"}'

**Phase 2: Completed decoding.
        name: 'json'
        data._data: 'Создание роли для пользователя: anton@rebez.ru роль: Translator'
        data._date: '2025-04-18T05:12:14.607513'
        data._user_id: '3'
        data.del: 'false'
        data.group_id: '15'
        data.id: '453'
        data.user_id: '156'
        level: 'INFO'
        logger: 'history'
        message: 'Иванов Igor IW2 Михайлович: Создание роли для пользователя: anton@rebez.ru роль: Translator'
        thread: 'main'
        timestamp: '2025-04-18T05:12:14.607Z'
```

Проверяем упоминание файла history в логе:
```sh
sudo less /var/log/wazuh-indexer/wazuh-cluster.log
sudo grep -i "history" /var/log/wazuh-indexer/wazuh-cluster.log
```

Ищем ошибки индексации:
```sh
sudo grep -i "error" /var/log/wazuh-indexer/wazuh-cluster.log
```




Временно отключаю аудит:
```sh
sudo mcedit /etc/wazuh-indexer/opensearch-security/audit.yml
```

Инициализируем кластер безопасности (после отключения аудита перенастраиваем):
```sh
sudo -u wazuh-indexer /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh \
-cd /etc/wazuh-indexer/opensearch-security/ \
-icl -nhnv \
-cacert /etc/wazuh-indexer/certs/root-ca.pem \
-cert /etc/wazuh-indexer/certs/admin.pem \
-key /etc/wazuh-indexer/certs/admin-key.pem
```

Перезагружаем после применения настроек
```sh
sudo systemctl restart wazuh-indexer
```


Проверьте конфигурацию аудита в файле /etc/wazuh-indexer/opensearch.yml:
```sh
  sudo mcedit /etc/wazuh-indexer/opensearch.yml
```

В нём должны быть такие настройки:
```conf
opensearch_security.audit.type: internal_opensearch
opensearch_security.audit.enable_rest: true
opensearch_security.audit.enable_transport: true
```

Выводим строчки с ошибками
```sh
sudo grep -i "error" /var/log/wazuh-indexer/wazuh-cluster.log
```


sudo chown -R wazuh-indexer:wazuh-indexer /etc/wazuh-indexer /var/lib/wazuh-indexer /var/log/wazuh-indexer