.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
wazuhサーバーのインストール
Wazuhサーバーは、あらゆるタイプのUNIXオペレーティングシステムにインストールできます。最も一般的にLinuxにインストールされています。システムに自動化されたスクリプトを提供できれば、インストールプロセスは簡単ですが、ソースからビルドしてインストールすることも非常に簡単です。
通常、Wazuhサーバーに2つのコンポーネントがインストールされます:マネージャーとAPI。さらに、分散アーキテクチャ(Wazuhサーバーはリモートエラスティックスタッククラスターにデータを送信します)の場合、ファイルビートをインストールする必要があります。
オペレーティングシステムとソースから構築するかどうかに応じて、Wazuhサーバーをインストールするための多くのオプションがあります。以下の表を参照して、インストール方法を選択してください。
タイプ説明RPMパッケージ
centos/rhel/fedoraにWazuhサーバーをインストールします
デブパッケージ
debian/ubuntuにWazuhサーバーをインストールします
知らせ
Wazuh APIは32ビットプラットフォームでは使用できないため、Wazuhサーバーを64ビットオペレーティングシステムにインストールすることを強くお勧めします。 Wazuh APIがなければ、Wazuh Kibanaアプリケーションの機能のほとんどは機能しません。同様に、Wazuh ServerプラットフォームにRed HatまたはCentosを使用している場合は、Wazuh APIを適切にインストールするためにバージョン6以下であることを確認してください。
RPMパッケージを使用してWazuhサーバーをインストールします
CENTOS/RHEL/FEDORAプラットフォームの場合、Wazuh Serverコンポーネントをインストールするには、更新ソースを追加した後に関連するソフトウェアパッケージをインストールする必要があります。
注:以下で使用されるコマンドの多くは、ルートユーザー許可を使用して実行する必要があります。
wazuhリポジトリを追加
Wazuhをセットアップする最初のステップは、Wazuhアップデートソースをシステムに追加することです。 Wazuh-Managerパッケージを直接ダウンロードするか、互換性のあるバージョンを表示する場合は、ここをクリックしてください。
更新ソースを設定するには、次のコマンドを実行します。
#cat /etc/yum.repos.d/wazuh.repo \ eof
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/gpg-key-wazuh
有効=1
name=wazuhリポジトリ
baseurl=https://packages.wazuh.com/3.x/yum/
保護=1
EOF
Centos-5およびRhel-5の場合:
#cat /etc/yum.repos.d/wazuh.repo \ eof
[wazuh_repo]
gpgcheck=1
gpgkey=http://packages.wazuh.com/key/gpg-key-wazuh-5
有効=1
name=wazuhリポジトリ
baseurl=http://packages.wazuh.com/3.x/yum/5/$ basearch/
保護=1
EOF
Wazuh Managerのインストール
次のステップは、システムにWazuhマネージャーをインストールすることです。
#yumインストールwazuh-manager
このプロセスを完了したら、次のコマンドを使用してサービスステータスを確認できます
A.SystemD:
#SystemCTLステータスWazuh-Manager
B. sysv init:用
#サービスwazuh-managerステータス
wazuh api
のインストールWazuh APIを実行するには、nodejs=4.6.1が必要です。 nodejsがインストールされていない場合、またはバージョンが4.6.1未満の場合は、以下に示すように公式のnodejsアップデートソースライブラリを追加することをお勧めします。
#curl - silent - ロケーションhttps://rpm.nodesource.com/setup_8.x |バッシュ -
次に、nodejsをインストールします。
#yumインストールnodejs
2。WazuhAPIを実行するには、python=2.7が必要です。デフォルトでインストールされているか、ほとんどのLinuxディストリビューションの公式ライブラリに含まれています。
システム上のPythonバージョンが2.7未満であるかどうかを判断するには、次のコマンドを実行できます。
#python -version
``/var/ossec/api/configuration/config.js``でAPIのカスタムPythonパスを設定することができます。
config.python=[
//デフォルトのインストール
{
bin: 'python'、
lib3360 ''
}、
//Centos 6のパッケージ「Python27」
{
bin: '/opt/rh/python27/root/usr/bin/python'、
lib: '/opt/rh/python27/root/usr/lib64'
}
];
Centos 6とRed Hat 6にはPython 2.6が付属していますが、Python 2.7を並行してインストールして、古いバージョンと互換性があります
a。 Centos 6の場合:
#yum install -y centos-release-scl
#yum install -y python27
b。 RHEL 6の場合:
#yumインストールpython27
次のコマンドを使用して、最初にPython27を取得することを最初に有効にする必要がある場合があります。
#yum-config-manager -enable rhui-region-rhel-server-rhscl
#yum-config-manager -enable rhel-server-rhscl-6-rpms
3. Wazuh APIをインストールします。必要に応じてnodejsを更新します。
#yumインストールwazuh-api
4。このプロセスを完了した後、次のコマンドを使用してサービスステータスを確認できます。
A.SystemD:
#SystemCTLステータスWazuh-API
B. sysv init:
#サービスwazuh-apiステータス
5。(オプション)wazuhアップデートを無効にするソース:
偶発的なエスカレーションを防ぐために、Wazuhアップデートソースを無効にすることをお勧めします。これを行うには、次のコマンドを使用します。
#sed -i 's/^enabled=1/enabled=0/'/etc/yum.repos.d/wazuh.repo
filebeatのインストール
FileBeatは、Elastic Stack ServerのLogstashサービスにイベントを安全に転送し、アーカイブすることができるWazuhサーバー上のツールです
警告:単一のホストアーキテクチャ(Wazuh ServerとElastic Stackが同じシステムにインストールされています)では、FileBeatは必要ありません。Logstashは、フォワーダーを必要とせずにローカルファイルシステムからイベント/アラートデータを直接読み取ることができるためです。
RPMパッケージは、Red Hat、Centos、その他のRPMベースのシステムへのインストールに適しています
ElasticからGPGキーをインストールしてから、弾性更新ソースをインストールします。
#rpm -import https://packages.lastic.co/gpg-key-elasticsearch
#cat /etc/yum.repos.d/elastic.repo eof
[Elasticsearch-6.x]
name=6.xパッケージのElasticsearchリポジトリ
baseurl=https://Artifacts.Elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://Artifacts.Elastic.co/gpg-key-elasticsearch
有効=1
AutoreFresh=1
type=rpm-md
EOF
2。filebeatをインストールします:
#yumインストールfilebeat-6.6.0
3. Wazuhリポジトリからファイルビート構成ファイルをダウンロードします。これは、WazuhアラートをLogstashに転送するために事前に構成されています。
#curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/filebeat/filebeat.yml
4. file /etc/filebeat/filebeat.ymlを編集し、Elastic Stack ServerのIPアドレスまたはホスト名としてelastic_server_ipを置き換えます。例えば:
output:
logstash:
hosts: ['elastic_server_ip33605000']
5。ファイルビートサービスを開始します:
A.SystemD:
#SystemCtl Daemon-Reload
#SystemCtl enable filebeat.service
#SystemCtl filebeat.Serviceを開始します
B. sysv init:
#chkconfig -add filebeat
#サービスfilebeat start
6。(オプション)Elasticsearchリポジトリを無効にします。
ElasticSearchの更新ソースを無効にして、新しい弾性スタックバージョンへのアップグレードを防ぐことをお勧めします。これには、次のコマンドを使用してください。
#sed -i 's/^enabled=1/enabled=0/' /etc/yum.repos.d/Elastic.rep
Debパッケージを使用してWazuhサーバーをインストールします
Debian/Ubuntuプラットフォームの場合、Wazuh Serverコンポーネントをインストールするには、リポジトリを追加した後に関連するソフトウェアパッケージをインストールする必要があります。以下で使用されるコマンドの多くは、ルートユーザー許可を使用して実行する必要があります。
wazuh更新ソースを追加
Wazuhをセットアップする最初のステップは、Wazuhアップデートソースをシステムに追加することです。 Wazuh-Managerパッケージを直接ダウンロードするか、互換性のあるバージョンを表示する場合は、ここをクリックしてください。
このプロセスを実行するには、Curl、Apt-Transport-HTTPS、およびLSBリリースパッケージをシステムにインストールする必要があります。それらがインストールされていない場合は、次のコマンドを使用してそれらをインストールします。
#apt-getアップデート
#apt-get install curl apt-transport-https lsb-release
/usr/bin/pythonファイルが存在しない場合(ubuntu 16.04 lts以降など)、次のコマンドを使用してpython(2.7以降)を作成します。
# もし [ ! -f/usr/bin/python];その後、ln -s/usr/bin/python3/usr/bin/python; fi
2. GPGキーをインストールします
#curl -s https://packages.wazuh.com/key/gpg-key-wazuh | apt -key add-
3.更新ソースを追加します
#echo 'deb https://packages.wazuh.com/3.x/apt/stable main' | Tee -a /etc/apt/sources.list.d/wazuh.list
4。パッケージを更新します
#apt-getアップデート
Wazuh Managerのインストール
ターミナルで、Wazuhマネージャーをインストールしてください。
#apt-get wazuh-managerをインストールします
このプロセスを完了した後、次のコマンドを使用してサービスステータスを確認できます。
a。 SystemDの場合:
#SystemCTLステータスWazuh-Manager
B. sysv init:
#サービスwazuh-managerステータス
wazuh api
のインストールWazuh APIを実行するには、nodejs=4.6.1が必要です。 nodejsがインストールされていない場合、またはバージョンが4.6.1より低い場合は、次のように公式のnodejsリポジトリを追加することをお勧めします。
#curl -sl https://deb.nodesource.com/setup_8.x |バッシュ -
ubuntu 12.04(正確)またはdebian 7(wheezy)を使用している場合、次のコマンドを使用してnodejs 6をインストールする必要があります。
#curl-slhttps://deb.nodesource.com/setup_6.x | bash-
次に、nodejsをインストールします。
#apt-get install nodejs
2。APIを実行するには、python=2.7が必要です。デフォルトでインストールされているか、ほとんどのLinuxディストリビューションの公式ライブラリに含まれています。
システム上のPythonバージョンが2.7未満であるかどうかを判断するには、次のコマンドを実行できます。
#python -version
``/var/ossec/api/configuration/config.js``でAPIのカスタムPythonパスを設定することができます。
config.python=[
//デフォルトのインストール
{
bin: 'python'、
lib3360 ''
}、
//Centos 6のパッケージ「Python27」
{
bin: '/opt/rh/python27/root/usr/bin/python'、
lib: '/opt/rh/python27/root/usr/lib64'
}
];
3. Wazuh APIをインストールします。必要に応じてnodejsを更新します。
#apt-get wazuh-apiをインストールします
4。このプロセスを完了した後、次のコマンドを使用してサービスステータスを確認できます。
A.SystemD:
#SystemCTLステータスWazuh-API
B. sysv init:
#サービスwazuh-apiステータス
5。(オプション)Wazuhアップデートを無効にします:
偶発的なエスカレーションを防ぐために、Wazuhアップデートソースを無効にすることをお勧めします。これを行うには、次のコマンドを使用します。
#sed -i 's/^deb/#deb/'/etc/apt/sources.list.d/wazuh.list
#apt-getアップデート
または、パッケージステータスを保持するように設定することもできます。これにより、更新が停止します(ただし、手動でアップグレードできます)
#echo 'wazuh-manager hold' | sudo dpkg - セット選択
#echo 'wazuh-api hold' | sudo dpkg - セット選択
filebeatのインストール
FileBeatは、Wazuhサーバー上のツールであり、Elastic Stack ServerのLogstashサービスにイベントを安全に転送し、アーカイブすることができます。
警告:単一のホストアーキテクチャ(Wazuh ServerとElastic Stackが同じシステムにインストールされています)では、FileBeatは必要ありません。Logstashは、フォワーダーを必要とせずにローカルファイルシステムからイベント/アラートデータを直接読み取ることができるためです。
Debパッケージは、Debian、Ubuntu、およびその他のDebianベースのシステムに適しています。
ElasticからGPGキーをインストールしてから、弾性リポジトリをインストールします。
#curl -S https://Artifacts.Elastic.co/gpg-key-elasticsearch | apt -key add-
#echo 'deb https://artifacts.elastic.co/packages/6.x/apt stable main' | Tee /etc/apt/sources.list.d/elastic-6.x.list
#apt-getアップデート
2。filebeatをインストールします:
#apt-get install filebeat=6.6.0
3. Wazuh Updateソースからファイルビート構成ファイルをダウンロードします。これは、WazuhアラートをLogstashに転送するために事前に構成されています。
#curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/filebeat/filebeat.yml
4. file /etc/filebeat/filebeat.ymlを編集し、Elastic Stack ServerのIPアドレスまたはホスト名としてelastic_server_ipを置き換えます。例えば:
output:
logstash:
hosts: ['elastic_server_ip33605000']
5。ファイルビートサービスを開始します:
A.SystemD:
#SystemCtl Daemon-Reload
#SystemCtl enable filebeat.service
#SystemCtl filebeat.Serviceを開始します
B. sysv init:
#update-rc.d filebeatデフォルト95 10
#サービスfilebeat start
6。(オプション)Elasticsearchの更新を無効にします:
ElasticSearの更新ソースを無効にして、新しいElastic Stackバージョンへのアップグレードを防ぐことをお勧めします。これには、次のコマンドを使用してください。
#sed -i 's/^deb/#deb/'/etc/apt/sources.list.d/elastic-6.x.list
#apt-getアップデート
または、パッケージステータスを保持するように設定することもできます。これにより、更新が停止します(ただし、手動でアップグレードできます)
#echo 'filebeat hold' | sudo dpkg - セット選択
弾性スタックのインストール
このガイドでは、Logstash、Elasticsearch、Kibanaで構成される弾性スタックサーバーのインストールを紹介します。これらのパッケージベースのコンポーネントインストールについて説明します。ソースからTARをコンパイルしてインストールすることもできますが、これはWazuhドキュメントの好ましいインストールではありません。
弾性スタックコンポーネントに加えて、Wazuhアプリケーション(Kibanaプラグインとして展開)のインストールと構成の手順も見つけることができます。
オペレーティングシステムに応じて、RPMまたはDEBパッケージから弾性スタックをインストールすることを選択できます。以下の表を参照して選択してください。
タイプ説明RPMパッケージ
Centos/rhel/fedoraに弾性スタックを取り付けます
デブパッケージ
debian/ubuntuに弾性スタックを取り付けます
知らせ
現在、Elastic Stackは64ビットオペレーティングシステムのみをサポートしています
RPMパッケージを使用して弾性スタックをインストールします
RPMパッケージは、Red Hat、Centos、その他のRPMベースのシステムへの設置に適しています。
注:次のコマンドの多くは、ルートユーザー許可を使用して実行する必要があります。
準備
LogstashとElasticsearchにはOracle Java JRE 8が必要です。
注:次のコマンドは、Oracle Java JREをダウンロードするためにCookieを持参する必要があります。詳細については、Oracle Java 8 JREダウンロードページをご覧ください。
#curl -lo jre-8-linux-x64.rpm - Header 'cookie: Oraclelicense=Accect-securebackup-cookie'https://doldoad.oracle.com/otn-pub/java/jdk/8U202-b08/1961070e4c9b4e26a04e7f5a083f551e/jre-8u202-lunux-x64.rpm'
次に、パッケージが正常にダウンロードされたかどうかを確認します。
#RPM -QLP JRE-8-LINUX-X64.RPM /DEV /NULL 21CHO'JAVAパッケージは正常にダウンロードされました '|| ECHO'JAVAパッケージは正常にダウンロードしませんでした'
最後に、Yumを使用してRPMパッケージをインストールします。
#yum -yインストールjre-8-linux-x64.rpm
#RM -F JRE-8-LINUX-X64.RPM
2。弾性リポジトリとそのGPGキーをインストールします。
#rpm -import https://packages.lastic.co/gpg-key-elasticsearch
#cat /etc/yum.repos.d/elastic.repo eof
[Elasticsearch-6.x]
name=6.xパッケージのElasticsearchリポジトリ
baseurl=https://Artifacts.Elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://Artifacts.Elastic.co/gpg-key-elasticsearch
有効=1
AutoreFresh=1
type=rpm-md
EOF
ElasticSearch
ElasticSearchは、非常にスケーラブルなフルテキスト検索および分析エンジンです。詳細については、elasticsearchを参照してください。
ElasticSearchパッケージをインストールします:
#yumインストールElasticsearch-6.6.0
2。ElasticSearchサービスを開始します。
A.SystemD:
#SystemCtl Daemon-Reload
#SystemCtl Enable ElasticSearch.Service
#SystemCtl Start ElasticSearch.Service
B. sysv init:
#chkconfig -add elasticsearch
#サービスElasticSearch Start
ElasticSearchサーバーがスタートアップを完了するのを待つことが非常に重要です。次のコマンドを使用して、現在のステータスを確認します。これにより、次のように応答が表示されます。
#curl 'http://LocalHost3:9200/?pretty'
{
'name' : 'zr2shu_'、
'cluster_name' : 'elasticsearch'、
'cluster_uuid' : 'M-w_rznzra-cxykh_ojscq'、
'バージョン' : {
「番号」: '6.6.0'、
'build_flavor' : 'デフォルト'、
'build_type' : 'rpm'、
'build_hash'