在5天鐵人賽中，第一天的目標是快速完成資安監控的基礎架構，打造集中式日誌分析平台，結合的Wazuh安全事件監控功能。做好從藍隊到紅隊的全體演練！

一、準備環境

• 推薦使用Ubuntu 22.04 LTS伺服器，或相容的Linux虛擬機（2核心、4GB RAM以上）
• 確保伺服器能連網，並具備sudo權限

二、安裝Docker與Docker Compose（快速部署關鍵服務）

1. 更新軟體資源列表
   sudo apt update

2. 安裝Docker
   sudo apt install -y docker.io

3. 啟動Docker服務並開機自動啟動
   sudo systemctl start docker
   sudo systemctl enable docker

4. 安裝Docker Compose
   sudo apt install -y docker-compose

三、拉取ELK與Wazuh的Docker組合服務

1. 建立目錄並下載官方docker-compose範本

mkdir ~/wazuh-elk
cd ~/wazuh-elk
curl -O https://raw.githubusercontent.com/wazuh/wazuh-docker/main/docker-compose.yml

2. 啟動容器

sudo docker-compose up -d

3. 等待容器啟動完成後，使用以下指令確認服務狀態

sudo docker ps

你應該看到ElasticSearch、Kibana、Wazuh等容器運行中。

四、進入Wazuh管理介面

• 打開瀏覽器，訪問 http://<伺服器IP>:5601
• 預設帳號：admin
• 預設密碼：admin

Kibana 是我們用來視覺化分析與事件追蹤的重要工具。

五、部署Wazuh Agent於監控主機（以同一台伺服器為例）

1. 下載並安裝Wazuh agent

curl -so wazuh-agent.sh https://raw.githubusercontent.com/wazuh/wazuh/v4.4.0/extensions/agent-install.sh
chmod +x wazuh-agent.sh
sudo ./wazuh-agent.sh

2. 配置Agent連結至Wazuh server（依照指示輸入伺服器IP）

3. 啟動Agent

sudo systemctl start wazuh-agent
sudo systemctl enable wazuh-agent

4. 確認Agent已連線

• 在Kibana中查看Agent列表，應看到剛剛連線的Agent狀態為「Active」

六、基本日誌收集驗證

1. 在受監控主機生成測試檔案與事件，例如建立新使用者或產生異常登入嘗試
2. 在Kibana介面中搜尋相關安全事件，確認Wazuh能成功收集並分析