Wazuh-Agent
Der Wazuh-Agent ist plattformübergreifend und wird auf den Hosts ausgeführt, die der Benutzer überwachen möchte. Es kommuniziert mit dem Wazuh-Manager und sendet Daten nahezu in Echtzeit über einen verschlüsselten und authentifizierten Kanal.
Der Agent wurde unter Berücksichtigung der Notwendigkeit entwickelt, eine Vielzahl unterschiedlicher Endpunkte zu überwachen, ohne deren Leistung zu beeinträchtigen. Daher wird es von den gängigsten Betriebssystemen unterstützt und benötigt nur etwa 0,1 GB RAM
Bereitstellen von Wazuh-Agenten auf Linux-Systemen
Der Agent wird also auf dem Host ausgeführt, den Sie überwachen möchten, und kommuniziert mit dem Wazuh-Manager, wobei Daten nahezu in Echtzeit über einen verschlüsselten und authentifizierten Kanal gesendet werden.
Die Bereitstellung eines Wazuh-Agenten auf einem Linux-System verwendet Bereitstellungsvariablen, die die Aufgabe der Installation, Registrierung und Konfiguration des Agenten erleichtern. Alternativ, wenn Sie das Wazuh-Agentenpaket direkt herunterladen möchten
Fügen Sie das Wazuh-Repository hinzu
Fügen Sie das Wazuh-Repository hinzu, um die offiziellen Pakete herunterzuladen.
Importieren Sie den GPG-Schlüssel:
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUHRepository hinzufügen:
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF
Stellen Sie einen Wazuh-Agenten bereit
Um den Wazuh-Agenten auf Ihrem System bereitzustellen, wählen Sie Ihren Paketmanager aus und bearbeiten Sie WAZUH_MANAGER Variable, die die IP-Adresse oder den Hostnamen Ihres Wazuh-Managers enthält.
WAZUH_MANAGER="10.0.0.2"
yum install wazuh-agentBitte vergessen Sie nicht, /etc/hosts auf beiden Servern mit IP und Hostnamen von Server und Agent
zu aktualisierenAktivieren und starten Sie den Wazuh-Agentendienst
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent
Der Bereitstellungsprozess ist nun abgeschlossen und der Wazuh-Agent wird erfolgreich auf Ihrem Linux-System ausgeführt.
Empfohlene Maßnahme – Wazuh-Updates deaktivieren
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repoDeinstallieren Sie einen Wazuh-Agenten
Um den Agenten zu deinstallieren, wählen Sie Ihren Paketmanager aus und führen Sie den folgenden Befehl aus.
yum remove wazuh-agent
Einige Dateien sind als Konfigurationsdateien gekennzeichnet. Aufgrund dieser Kennzeichnung entfernt der Paketmanager diese Dateien nicht aus dem Dateisystem. Wenn Sie alle Dateien vollständig entfernen möchten, löschen Sie die Datei /var/ossec Ordner.
Überprüfe die Verbindung mit Manager
Bevor Sie die Verbindung des Agenten mit dem Manager überprüfen, stellen Sie zunächst sicher, dass der Agent auf die IP-Adresse des Managers verweist. Dies wird in ossec.conf festgelegt mit dem <client> XML-Tag. Mehr dazu
<ossec_config>
<client>
<server>
<address>10.0.0.10</address>
<protocol>tcp</protocol>
</server>
</client>
</ossec_config>Dadurch wird 10.0.0.10 als Wazuh-Server festgelegt. Sobald dies erledigt ist, müssen Sie den Agenten neu starten:
systemctl restart wazuh-agentNachdem Sie den Agenten registriert und erfolgreich verbunden haben, können Sie eine Liste der Agenten sehen, die über_ mit dem Manager verbunden sind
/var/ossec/bin/agent_control -lcSie können auch überprüfen, ob sich ein Agent korrekt verbunden hat, indem Sie überprüfen, ob die TCP-Verbindung zum Manager hergestellt wurde:
netstat -vatunp|grep wazuh-agentd
Oder
Stellen Sie sicher, dass der Agent ordnungsgemäß verbunden ist:
# grep ^status /var/ossec/var/run/wazuh-agentd.state
Das Ergebnis sollte mit den IP-Adressen der Agenten und Manager übereinstimmen.
