安裝好Wazuh Server之後
接下來我們要來做幾個事情
我們先在一台要被監控的主機上
安裝一個Nginx的服務
接著我們利用wazuh來監控該主機
下一步我們登入wazuh之後來查看一下介面
這邊會簡單帶過,然後有些功能會在後面詳細說明
其他剩餘的就大家自行探索
開啟後使用預設帳密登入
全部都打勾正常就沒問題了
如果有問題就先看看Docker-compose的log看看是甚麼錯誤
登入後可以看到面板會顯示目前有註冊的agents數量跟狀態
以及下方有許多功能
點選Wazh字樣旁的向下箭頭
可以展開看到各種功能跟模組的設定
如果點選左側三條線
也可以看到一些功能
如果有碰過ELK的人,一定覺得眼熟
沒錯唷,這個就是ELK模改,實際上Wazuh這一套原生就整合ELK
所以這個介面看起來跟Kibana有個78成像
更早期的版本畫面上看到的圖示甚至還是kibana的 (如果沒記錯的話XD)
這個我們後面聊架構的也還會再提到一次就是了
訪問9200 port也可以知道elasticsearch的版本
這些我們都後續再來探索
首先接下來我們要安裝一個Agent在我們要監控的主機
點選add agent
填入適當的參數
以此次範例,我們另一台要監控的主機也是Ubuntu
所以選擇Ubuntu, 版本為15+, 架構為x86_64
伺服器IP就是我們現在用的這台的IP, 192.168.101.139
這邊如果有設定FQDN話可以直接填入FQDN
這樣之後就算換IP問題也不大,改一下DNS就好
(agnet的主機, 也就是client, 實際上也只有一個地方有紀錄Server IP)
Optional settings 名稱我們不填
但是群組選擇default
點選完成後,會自動幫我們產生在主機上要安裝跟啟動agent的指令
是不是超貼心方便的!
關於部署agent,實務上還是會大量部署,還是建議使用一些IaC工具例如ansible
但我們現在只示範一台,而且還沒教過IaC,所以我們先複製指令在主機上執行
curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.5.0-1_amd64.deb && sudo WAZUH_MANAGER='192.168.101.139' WAZUH_AGENT_GROUP='default' dpkg -i ./wazuh-agent.deb
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
現在我們進入第二台虛擬機
這台我是準備用來當成被監控的主機的
把上面指令複製貼上執行完成就是安裝並啟動完成了
也可以透過status查看目前運行狀態
sudo systemctl status wazuh-agent
agent端與wazuh相關的設定都會在目錄/var/ossec底下
這台主機,我們來順便安裝一下nginx的
先安裝一個在主機上直接運行的nginx服務
sudo apt update
sudo apt install nginx
利用以下指令完成啟動並且查看狀態
sudo systemctl enable nginx
sudo systemctl start nginx
sudo systemctl status nginx
預設的nginx是監聽80 port
我們也可以直接訪問網頁查看運作是否正常
接著我們再來安裝另一個nginx,這個都是為後續的路埋下伏筆
總之,可以先跟著做XD
我們利用docker啟動一個nginx
我們一樣用個docker-compose.yml
這邊我們監聽的port修改為86
因為80已經被原本的nginx給佔用了
然後我們把容器內的資料和log給bind mount到主機上
version: '3'
services:
nginx:
container_name: nginx
image: nginx
ports:
- "86:80"
volumes:
- ./nginx/config:/etc/nginx
- ./nginx/log:/var/log/nginx
- ./nginx/html:/usr/share/nginx/html
restart: always
........上面這段結果失敗惹XD
我們把失敗的容器給刪除,目錄也順便刪除掉好了
所以我們接下來要做一件稍顯麻煩的事情,我們先啟動一個nginx
然後把裡面的設定檔複製出來
接著放在主機上面,在執行一次docker-compose
mkdir -p ./nginx/config
mkdir -p ./nginx/html
docker run -d --name nginx nginx
docker cp nginx:/etc/nginx/. ./nginx/config
docker cp nginx:/usr/share/nginx/html/. ./nginx/html
docker stop nginx
docker rm nginx
在啟動一次就可以成功了
因為啟動的時候需要設定檔
訪問我們設定的86port可以看到正常運行
docker-compose up -d
同時我們也可以從宿主主機上面看到目錄結構
容器內的設定檔,網頁html檔案,以及日誌檔案都有被持久儲存在主機上
終於處理完nginx的部分,不要忘了正事
我們回頭看我們wazuh server的地方,確認Agent註冊成功的
可以看到已經安裝好的Agent
在首頁欄位上會先顯示註冊的IP, Hostname, IP, 所屬的Group 以及作業系統版本
這邊順便提一下,其實可以看到hostname是很直觀的事情
所以大家在自己場域內取名時建議好好取名,可以一看就知道該主機用途的最好
點進去該agent
可以看到針對該agent所觸發的事件
以及各項的功能, 包含檔案完整性檢查, SCA, Auding, 弱點掃描等等
這些相關功能模組後續會介紹
我們先點選右上角的Inventory data
這個是對這台agent的盤點
關於目前上面的資源盤點, CPU與記憶體, 作業系統, 以及網路介面, ps執行結果
我們也可以在Security events查看到該Agent有哪些事件被觸發
剩下可以自己先探索看看
關於Agent的部分,明天先不談
明天會談關於Server的架構