Wazuh Kurulumu ve Agent Ekleme
2 min readFeb 5, 2020
Selamlar,
CentOs 7(1810 or 1910) makinesindeki Wazuh kurulum adımları aşağıdaki gibidir.
- Repo’ya aşağıdaki Komut ile;
cat > /etc/yum.repos.d/wazuh.repo <<\EOF- aşağıdaki bilgiler satır satır Enter’layarak girilir.
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF- Yükleme için;
yum install wazuh-manager- Yükleme sonrası kontrol için;
systemctl status wazuh-manager- Ardından;
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch- Yine Satır satır benzer adımlarla girilir;
cat > /etc/yum.repos.d/elastic.repo << EOF
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF- Filebeat için;
yum install filebeat-6.5.4
curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/3.7/extensions/filebeat/filebeat.yml- Ardından dizine gidilip, Elastic’e hazır hale getiririz. [“ElasticIP:50”] yerine [“127.0.0.1”] yazmalıyız.
nano /etc/filebeat/filebeat.yml- Filebeat’i baslatmak icin;
# systemctl daemon-reload
# systemctl enable filebeat.service
# systemctl start filebeat.service
systemctl restart wazuh-managerAgent Eklemek için ise;
Wazuh Makinesinde;
- Ilk önce Manage’e Agent Oluşturulur; (Key Not Alınır!)
/var/ossec/bin/manage_agentsSonr Auth bölünde dinleyiciyi 1515 yerine 1514 yapılmalı.
nano /var/ossec/etc/osec.confTekrar başlatılır.
systemctl restart wazuh-managerAgent Kurmak için ise;
- Agent Indirmek için uygu işletim Sistemini seçip kurulum adımını izleyin;
https://documentation.wazuh.com/3.7/installation-guide/installing-wazuh-agent/index.html- - Manage IP’ girilir ve Agent ayarlarina girilir.
nano -w /var/ossec/etc/ossec.conf /var/ossec/bin/manage_agents
- Ardından Agent’da girilir ve “I” tıklanıp Key yapıştırılır. ve kaydedir. Restart atılır.
systemctl restart wazuh-agent- Son Olarak Agent’ın Log akışı Manage’de kontrol edilir.
tail -f /var/ossec/bin/logs/alerts/alerts.json- - Agent Kontrol;
/var/ossec/bin/agent_control -l
/var/ossec/bin/agent_control -lc- Wazuh Durum Kontrol;
systemctl status wazuh-manager
sudo /var/ossec/bin/ossec-control status