Wazuh是什麼？
Wazuh是一套開源SIEM平台，用來集中收集並分析系統、應用程式、網路設備的安全事件日誌，結合ELK Stack，並提供安全規則引擎進行即時警告，其中功能包含：入侵偵測、弱點掃描、日誌分析與合規檢查、威脅情報整合。

Wazuh的架構
Wazuh Manager：核心伺服器，負責分析日誌與觸發警告。
Wazuh Agent：安裝在每台終端上，負責收集系統事件與安全資訊。
ElasticSearch / Kibana：用來儲存與視覺化安全事件。
（可以搭配Filebeat或Logstash進行資料轉送）

SIEM的重要性
SIEM是企業安全架構中不可或缺的核心，用於整合大量安全事件，從中找出潛在攻擊，可以說是安全指揮中心，監控所有主機與網路設備的動態。

動手試試
首先安裝Wazuh All-in-Onecurl -sO https://packages.wazuh.com/4.7/wazuh-install.sh sudo bash wazuh-install.sh -a
（這會自動安裝Wazuh Manager、Filebeat、ElasticSearch、Kibana）
再安裝Wazuh Agent curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh sudo bash wazuh-install.sh -a -i <manager-ip>
（確認agent有被manager偵測到）
接著查看警告：
嘗試修改系統檔案或用sudo su等動作製造警告，然後到Wazuh Dashboard查看是否有Policy Violation或Unauthorized modification警示。

心得
今天第一次接觸Wazuh這種企業級SIEM工具，感覺就像在搭建一個安全監控中心，以前學的防火牆、IDS都是單一點的防禦，而Wazuh把所有資訊整合起來，讓安全事件更有脈絡，雖然安裝需要一點時間，但看到Kibana介面中出現自己系統的安全日誌和警告，這讓我更理解大型企業是如何監控整個系統安全，並即時反應攻擊的。