タイトル：Wazuh公式インストールガイド（中国語翻訳）

wazuhサーバーのインストール

Wazuhサーバーは、あらゆるタイプのUNIXオペレーティングシステムにインストールできます。最も一般的にLinuxにインストールされています。システムに自動化されたスクリプトを提供できれば、インストールプロセスは簡単ですが、ソースからビルドしてインストールすることも非常に簡単です。

通常、Wazuhサーバーに2つのコンポーネントがインストールされます：マネージャーとAPI。さらに、分散アーキテクチャ（Wazuhサーバーはリモートエラスティックスタッククラスターにデータを送信します）の場合、ファイルビートをインストールする必要があります。

オペレーティングシステムとソースから構築するかどうかに応じて、Wazuhサーバーをインストールするための多くのオプションがあります。以下の表を参照して、インストール方法を選択してください。

タイプ説明RPMパッケージ

centos/rhel/fedoraにWazuhサーバーをインストールします

デブパッケージ

debian/ubuntuにWazuhサーバーをインストールします

知らせ

Wazuh APIは32ビットプラットフォームでは使用できないため、Wazuhサーバーを64ビットオペレーティングシステムにインストールすることを強くお勧めします。 Wazuh APIがなければ、Wazuh Kibanaアプリケーションの機能のほとんどは機能しません。同様に、Wazuh ServerプラットフォームにRed HatまたはCentosを使用している場合は、Wazuh APIを適切にインストールするためにバージョン6以下であることを確認してください。

RPMパッケージを使用してWazuhサーバーをインストールします

CENTOS/RHEL/FEDORAプラットフォームの場合、Wazuh Serverコンポーネントをインストールするには、更新ソースを追加した後に関連するソフトウェアパッケージをインストールする必要があります。

注：以下で使用されるコマンドの多くは、ルートユーザー許可を使用して実行する必要があります。

wazuhリポジトリを追加

Wazuhをセットアップする最初のステップは、Wazuhアップデートソースをシステムに追加することです。 Wazuh-Managerパッケージを直接ダウンロードするか、互換性のあるバージョンを表示する場合は、ここをクリックしてください。

更新ソースを設定するには、次のコマンドを実行します。

＃cat /etc/yum.repos.d/wazuh.repo \ eof

[wazuh_repo]

gpgcheck=1

gpgkey=https://packages.wazuh.com/key/gpg-key-wazuh

有効=1

name=wazuhリポジトリ

baseurl=https://packages.wazuh.com/3.x/yum/

保護=1

EOF

Centos-5およびRhel-5の場合：

＃cat /etc/yum.repos.d/wazuh.repo \ eof

[wazuh_repo]

gpgcheck=1

gpgkey=http://packages.wazuh.com/key/gpg-key-wazuh-5

有効=1

name=wazuhリポジトリ

baseurl=http://packages.wazuh.com/3.x/yum/5/$ basearch/

保護=1

EOF

Wazuh Managerのインストール

次のステップは、システムにWazuhマネージャーをインストールすることです。

＃yumインストールwazuh-manager

このプロセスを完了したら、次のコマンドを使用してサービスステータスを確認できます

A.SystemD：

＃SystemCTLステータスWazuh-Manager

B. sysv init:用

＃サービスwazuh-managerステータス

wazuh api

のインストール

Wazuh APIを実行するには、nodejs=4.6.1が必要です。 nodejsがインストールされていない場合、またはバージョンが4.6.1未満の場合は、以下に示すように公式のnodejsアップデートソースライブラリを追加することをお勧めします。

＃curl - silent - ロケーションhttps://rpm.nodesource.com/setup_8.x |バッシュ -

次に、nodejsをインストールします。

＃yumインストールnodejs

2。WazuhAPIを実行するには、python=2.7が必要です。デフォルトでインストールされているか、ほとんどのLinuxディストリビューションの公式ライブラリに含まれています。

システム上のPythonバージョンが2.7未満であるかどうかを判断するには、次のコマンドを実行できます。

＃python -version

``/var/ossec/api/configuration/config.js``でAPIのカスタムPythonパスを設定することができます。

config.python=[

//デフォルトのインストール

{

bin: 'python'、

lib3360 ''

}、

//Centos 6のパッケージ「Python27」

{

bin: '/opt/rh/python27/root/usr/bin/python'、

lib: '/opt/rh/python27/root/usr/lib64'

}

];

Centos 6とRed Hat 6にはPython 2.6が付属していますが、Python 2.7を並行してインストールして、古いバージョンと互換性があります

a。 Centos 6の場合：

＃yum install -y centos-release-scl

#yum install -y python27

b。 RHEL 6の場合：

#yumインストールpython27

次のコマンドを使用して、最初にPython27を取得することを最初に有効にする必要がある場合があります。

＃yum-config-manager -enable rhui-region-rhel-server-rhscl

＃yum-config-manager -enable rhel-server-rhscl-6-rpms

3. Wazuh APIをインストールします。必要に応じてnodejsを更新します。

＃yumインストールwazuh-api

4。このプロセスを完了した後、次のコマンドを使用してサービスステータスを確認できます。

A.SystemD：

＃SystemCTLステータスWazuh-API

B. sysv init：

＃サービスwazuh-apiステータス

5。（オプション）wazuhアップデートを無効にするソース：

偶発的なエスカレーションを防ぐために、Wazuhアップデートソースを無効にすることをお勧めします。これを行うには、次のコマンドを使用します。

＃sed -i 's/^enabled=1/enabled=0/'/etc/yum.repos.d/wazuh.repo

filebeatのインストール

FileBeatは、Elastic Stack ServerのLogstashサービスにイベントを安全に転送し、アーカイブすることができるWazuhサーバー上のツールです

警告：単一のホストアーキテクチャ（Wazuh ServerとElastic Stackが同じシステムにインストールされています）では、FileBeatは必要ありません。Logstashは、フォワーダーを必要とせずにローカルファイルシステムからイベント/アラートデータを直接読み取ることができるためです。

RPMパッケージは、Red Hat、Centos、その他のRPMベースのシステムへのインストールに適しています

ElasticからGPGキーをインストールしてから、弾性更新ソースをインストールします。

＃rpm -import https://packages.lastic.co/gpg-key-elasticsearch

＃cat /etc/yum.repos.d/elastic.repo eof

[Elasticsearch-6.x]

name=6.xパッケージのElasticsearchリポジトリ

baseurl=https://Artifacts.Elastic.co/packages/6.x/yum

gpgcheck=1

gpgkey=https://Artifacts.Elastic.co/gpg-key-elasticsearch

有効=1

AutoreFresh=1

type=rpm-md

EOF

2。filebeatをインストールします：

＃yumインストールfilebeat-6.6.0

3. Wazuhリポジトリからファイルビート構成ファイルをダウンロードします。これは、WazuhアラートをLogstashに転送するために事前に構成されています。

＃curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/filebeat/filebeat.yml

4. file /etc/filebeat/filebeat.ymlを編集し、Elastic Stack ServerのIPアドレスまたはホスト名としてelastic_server_ipを置き換えます。例えば：

output:

logstash:

hosts: ['elastic_server_ip33605000']

5。ファイルビートサービスを開始します：

A.SystemD：

＃SystemCtl Daemon-Reload

＃SystemCtl enable filebeat.service

＃SystemCtl filebeat.Serviceを開始します

B. sysv init：

＃chkconfig -add filebeat

＃サービスfilebeat start

6。（オプション）Elasticsearchリポジトリを無効にします。

ElasticSearchの更新ソースを無効にして、新しい弾性スタックバージョンへのアップグレードを防ぐことをお勧めします。これには、次のコマンドを使用してください。

＃sed -i 's/^enabled=1/enabled=0/' /etc/yum.repos.d/Elastic.rep

Debパッケージを使用してWazuhサーバーをインストールします

Debian/Ubuntuプラットフォームの場合、Wazuh Serverコンポーネントをインストールするには、リポジトリを追加した後に関連するソフトウェアパッケージをインストールする必要があります。以下で使用されるコマンドの多くは、ルートユーザー許可を使用して実行する必要があります。

wazuh更新ソースを追加

Wazuhをセットアップする最初のステップは、Wazuhアップデートソースをシステムに追加することです。 Wazuh-Managerパッケージを直接ダウンロードするか、互換性のあるバージョンを表示する場合は、ここをクリックしてください。

このプロセスを実行するには、Curl、Apt-Transport-HTTPS、およびLSBリリースパッケージをシステムにインストールする必要があります。それらがインストールされていない場合は、次のコマンドを使用してそれらをインストールします。

＃apt-getアップデート

＃apt-get install curl apt-transport-https lsb-release

/usr/bin/pythonファイルが存在しない場合（ubuntu 16.04 lts以降など）、次のコマンドを使用してpython（2.7以降）を作成します。

＃ もし [ ！ -f/usr/bin/python];その後、ln -s/usr/bin/python3/usr/bin/python; fi

2. GPGキーをインストールします

＃curl -s https://packages.wazuh.com/key/gpg-key-wazuh | apt -key add-

3.更新ソースを追加します

＃echo 'deb https://packages.wazuh.com/3.x/apt/stable main' | Tee -a /etc/apt/sources.list.d/wazuh.list

4。パッケージを更新します

＃apt-getアップデート

Wazuh Managerのインストール

ターミナルで、Wazuhマネージャーをインストールしてください。

＃apt-get wazuh-managerをインストールします

このプロセスを完了した後、次のコマンドを使用してサービスステータスを確認できます。

a。 SystemDの場合：

＃SystemCTLステータスWazuh-Manager

B. sysv init：

＃サービスwazuh-managerステータス

wazuh api

のインストール

Wazuh APIを実行するには、nodejs=4.6.1が必要です。 nodejsがインストールされていない場合、またはバージョンが4.6.1より低い場合は、次のように公式のnodejsリポジトリを追加することをお勧めします。

＃curl -sl https://deb.nodesource.com/setup_8.x |バッシュ -

ubuntu 12.04（正確）またはdebian 7（wheezy）を使用している場合、次のコマンドを使用してnodejs 6をインストールする必要があります。

＃curl-slhttps://deb.nodesource.com/setup_6.x | bash-

次に、nodejsをインストールします。

＃apt-get install nodejs

2。APIを実行するには、python=2.7が必要です。デフォルトでインストールされているか、ほとんどのLinuxディストリビューションの公式ライブラリに含まれています。

システム上のPythonバージョンが2.7未満であるかどうかを判断するには、次のコマンドを実行できます。

＃python -version

``/var/ossec/api/configuration/config.js``でAPIのカスタムPythonパスを設定することができます。

config.python=[

//デフォルトのインストール

{

bin: 'python'、

lib3360 ''

}、

//Centos 6のパッケージ「Python27」

{

bin: '/opt/rh/python27/root/usr/bin/python'、

lib: '/opt/rh/python27/root/usr/lib64'

}

];

3. Wazuh APIをインストールします。必要に応じてnodejsを更新します。

＃apt-get wazuh-apiをインストールします

4。このプロセスを完了した後、次のコマンドを使用してサービスステータスを確認できます。

A.SystemD：

＃SystemCTLステータスWazuh-API

B. sysv init：

＃サービスwazuh-apiステータス

5。（オプション）Wazuhアップデートを無効にします：

偶発的なエスカレーションを防ぐために、Wazuhアップデートソースを無効にすることをお勧めします。これを行うには、次のコマンドを使用します。

＃sed -i 's/^deb/＃deb/'/etc/apt/sources.list.d/wazuh.list

＃apt-getアップデート

または、パッケージステータスを保持するように設定することもできます。これにより、更新が停止します（ただし、手動でアップグレードできます）

＃echo 'wazuh-manager hold' | sudo dpkg - セット選択

＃echo 'wazuh-api hold' | sudo dpkg - セット選択

filebeatのインストール

FileBeatは、Wazuhサーバー上のツールであり、Elastic Stack ServerのLogstashサービスにイベントを安全に転送し、アーカイブすることができます。

警告：単一のホストアーキテクチャ（Wazuh ServerとElastic Stackが同じシステムにインストールされています）では、FileBeatは必要ありません。Logstashは、フォワーダーを必要とせずにローカルファイルシステムからイベント/アラートデータを直接読み取ることができるためです。

Debパッケージは、Debian、Ubuntu、およびその他のDebianベースのシステムに適しています。

ElasticからGPGキーをインストールしてから、弾性リポジトリをインストールします。

＃curl -S https://Artifacts.Elastic.co/gpg-key-elasticsearch | apt -key add-

＃echo 'deb https://artifacts.elastic.co/packages/6.x/apt stable main' | Tee /etc/apt/sources.list.d/elastic-6.x.list

＃apt-getアップデート

2。filebeatをインストールします：

＃apt-get install filebeat=6.6.0

3. Wazuh Updateソースからファイルビート構成ファイルをダウンロードします。これは、WazuhアラートをLogstashに転送するために事前に構成されています。

＃curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/filebeat/filebeat.yml

4. file /etc/filebeat/filebeat.ymlを編集し、Elastic Stack ServerのIPアドレスまたはホスト名としてelastic_server_ipを置き換えます。例えば：

output:

logstash:

hosts: ['elastic_server_ip33605000']

5。ファイルビートサービスを開始します：

A.SystemD:

＃SystemCtl Daemon-Reload

＃SystemCtl enable filebeat.service

＃SystemCtl filebeat.Serviceを開始します

B. sysv init：

＃update-rc.d filebeatデフォルト95 10

＃サービスfilebeat start

6。（オプション）Elasticsearchの更新を無効にします：

ElasticSearの更新ソースを無効にして、新しいElastic Stackバージョンへのアップグレードを防ぐことをお勧めします。これには、次のコマンドを使用してください。

＃sed -i 's/^deb/＃deb/'/etc/apt/sources.list.d/elastic-6.x.list

＃apt-getアップデート

または、パッケージステータスを保持するように設定することもできます。これにより、更新が停止します（ただし、手動でアップグレードできます）

＃echo 'filebeat hold' | sudo dpkg - セット選択

弾性スタックのインストール

このガイドでは、Logstash、Elasticsearch、Kibanaで構成される弾性スタックサーバーのインストールを紹介します。これらのパッケージベースのコンポーネントインストールについて説明します。ソースからTARをコンパイルしてインストールすることもできますが、これはWazuhドキュメントの好ましいインストールではありません。

弾性スタックコンポーネントに加えて、Wazuhアプリケーション（Kibanaプラグインとして展開）のインストールと構成の手順も見つけることができます。

オペレーティングシステムに応じて、RPMまたはDEBパッケージから弾性スタックをインストールすることを選択できます。以下の表を参照して選択してください。

タイプ説明RPMパッケージ

Centos/rhel/fedoraに弾性スタックを取り付けます

デブパッケージ

debian/ubuntuに弾性スタックを取り付けます

知らせ

現在、Elastic Stackは64ビットオペレーティングシステムのみをサポートしています

RPMパッケージを使用して弾性スタックをインストールします

RPMパッケージは、Red Hat、Centos、その他のRPMベースのシステムへの設置に適しています。

注：次のコマンドの多くは、ルートユーザー許可を使用して実行する必要があります。

準備

LogstashとElasticsearchにはOracle Java JRE 8が必要です。

注：次のコマンドは、Oracle Java JREをダウンロードするためにCookieを持参する必要があります。詳細については、Oracle Java 8 JREダウンロードページをご覧ください。

＃curl -lo jre-8-linux-x64.rpm - Header 'cookie: Oraclelicense=Accect-securebackup-cookie'https://doldoad.oracle.com/otn-pub/java/jdk/8U202-b08/1961070e4c9b4e26a04e7f5a083f551e/jre-8u202-lunux-x64.rpm'

次に、パッケージが正常にダウンロードされたかどうかを確認します。

＃RPM -QLP JRE-8-LINUX-X64.RPM /DEV /NULL 21CHO'JAVAパッケージは正常にダウンロードされました '|| ECHO'JAVAパッケージは正常にダウンロードしませんでした'

最後に、Yumを使用してRPMパッケージをインストールします。

＃yum -yインストールjre-8-linux-x64.rpm

＃RM -F JRE-8-LINUX-X64.RPM

2。弾性リポジトリとそのGPGキーをインストールします。

＃rpm -import https://packages.lastic.co/gpg-key-elasticsearch

＃cat /etc/yum.repos.d/elastic.repo eof

[Elasticsearch-6.x]

name=6.xパッケージのElasticsearchリポジトリ

baseurl=https://Artifacts.Elastic.co/packages/6.x/yum

gpgcheck=1

gpgkey=https://Artifacts.Elastic.co/gpg-key-elasticsearch

有効=1

AutoreFresh=1

type=rpm-md

EOF

ElasticSearch

ElasticSearchは、非常にスケーラブルなフルテキスト検索および分析エンジンです。詳細については、elasticsearchを参照してください。

ElasticSearchパッケージをインストールします：

＃yumインストールElasticsearch-6.6.0

2。ElasticSearchサービスを開始します。

A.SystemD：

＃SystemCtl Daemon-Reload

＃SystemCtl Enable ElasticSearch.Service

＃SystemCtl Start ElasticSearch.Service

B. sysv init：

＃chkconfig -add elasticsearch

＃サービスElasticSearch Start

ElasticSearchサーバーがスタートアップを完了するのを待つことが非常に重要です。次のコマンドを使用して、現在のステータスを確認します。これにより、次のように応答が表示されます。

＃curl 'http://LocalHost3:9200/？pretty'

{

'name' : 'zr2shu_'、

'cluster_name' : 'elasticsearch'、

'cluster_uuid' : 'M-w_rznzra-cxykh_ojscq'、

'バージョン' : {

「番号」: '6.6.0'、

'build_flavor' : 'デフォルト'、

'build_type' : 'rpm'、

'build_hash'