Dengan penerapan all-in-one, Anda menginstal dan mengonfigurasi server Wazuh dan Elastic Stack pada host yang sama.
Komponen berikut diinstal:
- Server Wazuh, termasuk pengelola Wazuh sebagai kluster simpul tunggal, dan API Wazuh.
- Elastic Stack, termasuk Open Distro for Elasticsearch sebagai cluster single-node, serta Filebeat, Kibana, dan plugin Wazuh Kibana.
Penginstalan langkah demi langkah
Instal komponen Wazuh dan Open Distro for Elasticsearch dalam penerapan all-in-one. Ikuti petunjuk untuk mengonfigurasi repositori resmi untuk melakukan instalasi.
Sebagai alternatif dari metode instalasi ini, Anda dapat menginstal Wazuh menggunakan paket
Menginstal Wazuh
Server Wazuh mengumpulkan dan menganalisis data dari agen Wazuh yang digunakan. Ini menjalankan manajer Wazuh, API Wazuh, dan Filebeat.
Untuk mulai menyiapkan Wazuh, tambahkan repositori Wazuh ke server
Menambahkan repositori Wazuh
#yum install curl unzip wget libImpor kunci GPG:
#rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUHJuga, Tambahkan repositori:
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOFMenginstal pengelola Wazuh
Jadi, Instal paket pengelola Wazuh:
yum install wazuh-managerAktifkan dan mulai layanan pengelola Wazuh:
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-managerJalankan perintah berikut untuk memeriksa apakah pengelola Wazuh aktif
systemctl status wazuh-managerMenginstal Elasticsearch
Open Distro for Elasticsearch adalah distribusi open source dari Elasticsearch, mesin pencari teks lengkap yang sangat skalabel. Menawarkan keamanan tingkat lanjut, peringatan, manajemen indeks, analisis kinerja mendalam, dan beberapa fitur tambahan lainnya.
Instal Open Distro untuk Elasticsearch:
yum install opendistroforelasticsearchMengonfigurasi Elasticsearch
Jadi, Jalankan perintah berikut untuk mengunduh file konfigurasi /etc/elasticsearch/elasticsearch.yml :
curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.ymlPengguna dan peran Elasticsearch
Anda perlu menambahkan pengguna dan peran untuk menggunakan Wazuh Kibana dengan benar.
Jalankan perintah berikut untuk menambahkan pengguna Wazuh dan peran tambahan di Kibana:
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles_mapping.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/internal_users.ymlPembuatan sertifikat
Hapus sertifikat demo:
rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -fBuat dan terapkan sertifikat:
Unduh wazuh-cert-tool.sh :
curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/wazuh-cert-tool.sh
curl -so ~/instances.yml https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/instances_aio.yml
Jalankan wazuh-cert-tool.sh untuk membuat sertifikat:
bash ~/wazuh-cert-tool.shPindahkan sertifikat Elasticsearch ke lokasi yang sesuai:
mkdir /etc/elasticsearch/certs/
mv ~/certs/elasticsearch* /etc/elasticsearch/certs/
mv ~/certs/admin* /etc/elasticsearch/certs/
cp ~/certs/root-ca* /etc/elasticsearch/certs/Aktifkan dan mulai layanan Elasticsearch:
systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearchJuga, Jalankan Elasticsearch securityadmin skrip untuk memuat informasi sertifikat baru dan memulai cluster:
export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pemJalankan perintah berikut untuk memastikan bahwa instalasi berhasil:
curl -XGET https://localhost:9200 -u admin:admin -k
Contoh respons akan terlihat sebagai berikut:
Menginstal Filebeat
Jadi, Instal paket Filebeat:
yum install filebeatUnduh file konfigurasi Filebeat yang telah dikonfigurasi sebelumnya yang digunakan untuk meneruskan peringatan Wazuh ke Elasticsearch:
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/open-distro/filebeat/7.x/filebeat_all_in_one.ymlUnduh juga template peringatan untuk Elasticsearch:
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.jsonUnduh modul Wazuh untuk Filebeat:
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module
Juga, Salin sertifikat Elasticsearch ke /etc/filebeat/certs :
mkdir /etc/filebeat/certs
cp ~/certs/root-ca.pem /etc/filebeat/certs/
mv ~/certs/filebeat* /etc/filebeat/certs/Kemudian aktifkan dan mulai layanan Filebeat:
systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeatUntuk memastikan bahwa Filebeat berhasil diinstal, jalankan perintah berikut:
filebeat test output
Menginstal Kibana
Jadi, Kibana adalah antarmuka web yang fleksibel dan intuitif untuk menambang dan memvisualisasikan acara dan arsip yang disimpan di Elasticsearch.
Instal paket Kibana:
yum install opendistroforelasticsearch-kibanaJadi, Unduh file konfigurasi Kibana:
curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.2/open-distro/kibana/7.x/kibana_all_in_one.yml
Dalam /etc/kibana/kibana.yml file, pengaturan server.host memiliki nilai 0.0.0.0 . Artinya Kibana dapat diakses dari luar dan menerima semua IP yang tersedia dari host. Nilai ini dapat diubah untuk IP tertentu jika diperlukan.
Juga, Buat /usr/share/kibana/data direktori:
mkdir /usr/share/kibana/data
chown -R kibana:kibana /usr/share/kibana/dataInstal plugin Wazuh Kibana. Instalasi plugin harus dilakukan dari direktori home Kibana sebagai berikut:
cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.4_7.10.2-1.zip
Kemudian, Salin sertifikat Elasticsearch ke /etc/kibana/certs :
mkdir /etc/kibana/certs
cp ~/certs/root-ca.pem /etc/kibana/certs/
mv ~/certs/kibana* /etc/kibana/certs/
chown kibana:kibana /etc/kibana/certs/*Tautkan soket Kibana ke port istimewa 443:
setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node
Aktifkan dan mulai layanan Kibana:
systemctl daemon-reload
systemctl enable kibana
systemctl start kibanaAkses antarmuka web:
URL: https://<wazuh_server_ip>
user: admin
password: admin
Dasbor Wazuh
