Agente Wazuh
L'agente Wazuh è multipiattaforma e viene eseguito sugli host che l'utente desidera monitorare. Comunica con il gestore Wazuh, inviando dati quasi in tempo reale attraverso un canale crittografato e autenticato.
L'agente è stato sviluppato considerando la necessità di monitorare un'ampia varietà di endpoint diversi senza influire sulle loro prestazioni. Pertanto, è supportato sui sistemi operativi più diffusi e richiede solo circa 0,1 GB di RAM
Distribuzione di agenti Wazuh su sistemi Linux
Quindi, l'agente viene eseguito sull'host che desideri monitorare e comunica con il gestore Wazuh, inviando dati quasi in tempo reale attraverso un canale crittografato e autenticato.
La distribuzione di un agente Wazuh su un sistema Linux utilizza variabili di distribuzione che facilitano l'attività di installazione, registrazione e configurazione dell'agente. In alternativa, se vuoi scaricare direttamente il pacchetto dell'agente Wazuh
Aggiungi il repository Wazuh
Aggiungi il repository Wazuh per scaricare i pacchetti ufficiali.
Importa la chiave GPG:
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUHAggiungi il repository:
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF
Distribuisci un agente Wazuh
Per distribuire l'agente Wazuh sul tuo sistema, seleziona il tuo gestore di pacchetti e modifica il WAZUH_MANAGER per contenere l'indirizzo IP o il nome host del gestore Wazuh.
WAZUH_MANAGER="10.0.0.2"
yum install wazuh-agentNon dimenticare di aggiornare /etc/hosts su entrambi i server con IP e nome host del server e dell'agente
Abilita e avvia il servizio dell'agente Wazuh
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent
Il processo di distribuzione è ora completo e l'agente Wazuh viene eseguito correttamente sul tuo sistema Linux.
Azione consigliata – Disattiva gli aggiornamenti Wazuh
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repoDisinstalla un agente Wazuh
Per disinstallare l'agente, seleziona il tuo gestore di pacchetti ed esegui il comando seguente.
yum remove wazuh-agent
Alcuni file contrassegnati come file di configurazione. A causa di questa designazione, il gestore pacchetti non rimuove questi file dal filesystem. Se desideri rimuovere completamente tutti i file, elimina /var/ossec cartella.
Verifica connessione con Manager
Prima di controllare la connessione dell'agente con il gestore, assicurati innanzitutto che l'agente punti all'indirizzo IP del gestore. Questo è impostato in ossec.conf utilizzando il <client> tag XML. Per ulteriori informazioni su questo
<ossec_config>
<client>
<server>
<address>10.0.0.10</address>
<protocol>tcp</protocol>
</server>
</client>
</ossec_config>Questo imposterà 10.0.0.10 come server Wazuh. Fatto ciò, dovrai riavviare l'Agente:
systemctl restart wazuh-agentDopo aver registrato l'agente e averlo connesso con successo, puoi vedere un elenco di agenti che sono_ collegati al gestore con
/var/ossec/bin/agent_control -lcPuoi anche verificare se un agente si è connesso correttamente verificando se è stata stabilita la connessione TCP al gestore:
netstat -vatunp|grep wazuh-agentd
Oppure
Verifica che l'agente si sia connesso correttamente:
# grep ^status /var/ossec/var/run/wazuh-agentd.state
Il risultato deve corrispondere agli indirizzi IP dell'agente e del gestore.
