3-5.監控工具之三:Elastic + Wazuh

2018 iT 邦幫忙鐵人賽

DAY 15

自我挑戰組

成長型維運平台 - 單人新手到多人團隊都適用的工具系列第 16 篇

2018鐵人賽

Eugene

2017-12-20 01:23:02

14802 瀏覽

分享至

Elastic beat有Filebeat,Packetbeat,Winlogbeat,Auditbeat是可以收集log做稽核用，但預設樣板功能不強，做SIEM少了處理data這塊，Wazuh可以配合做這方面的解析。
官方手冊:https://documentation.wazuh.com/current/getting-started/index.html
single-node架構如下

不想裝或想先嘗試的可以直接用ovf
https://documentation.wazuh.com/current/installation-guide/virtual-machine.html

安裝wazuh
設定wazuh repo

cat > /etc/yum.repos.d/wazuh.repo <<\EOF

[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF

Install wazuh-manager

yum install wazuh-manager

Install nod.js

curl --silent --location https://rpm.nodesource.com/setup_6.x | bash -
yum install nodejs

Install wazuh-api

yum install wazuh-api

Install wazuh-agent

yum install wazuh-agent

設定api帳密，帳號自己填

cd /var/ossec/api/configuration/auth
node htpasswd -c user 帳號
systemctl restart wazuh-api

安裝Elastic
ELK照之前的即可，要設定templates
https://documentation.wazuh.com/current/installation-guide/installing-elastic-stack/elastic_server_rpm.html#elastic-server-rpm
1.Elasticsearch 安裝 templates

curl https://raw.githubusercontent.com/wazuh/wazuh/3.0/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -XPUT 'http://localhost:9200/_template/wazuh' -H 'Content-Type: application/json' -d @-

curl https://raw.githubusercontent.com/wazuh/wazuh/3.0/extensions/elasticsearch/wazuh-elastic6-template-monitoring.json | curl -XPUT 'http://localhost:9200/_template/wazuh-agent' -H 'Content-Type: application/json' -d @-

curl https://raw.githubusercontent.com/wazuh/wazuh/3.0/extensions/elasticsearch/alert_sample.json | curl -XPUT "http://localhost:9200/wazuh-alerts-3.x-"`date +%Y.%m.%d`"/wazuh/sample" -H 'Content-Type: application/json' -d @-

2.Logstash templates

curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/3.0/extensions/logstash/01-wazuh-local.conf

啟動logstash

systemctl enable logstash.service
systemctl start logstash.service

3.kibana裝plugin(目前是支援6.1版，要舊版到github找https://github.com/wazuh/wazuh-kibana-app#installation)

./usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp.zip

網頁設定
連至kibana網頁選wazuh，api要做連結，帳號密碼輸入之前wazuh api設定的，port設定55000

3-4.監控工具之三:Elastic Netflow收集

3-6.監控工具之三:Elastic + Telegraf

系列文

成長型維運平台 - 單人新手到多人團隊都適用的工具共 27 篇

RSS系列文訂閱系列文

137 人訂閱

完整目錄

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22045 篇

完賽人數

594 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙

成長型維運平台 - 單人新手到多人團隊都適用的工具系列 第 16 篇