オールインワン展開では、WazuhサーバーとElasticStackを同じホストにインストールして構成します。
次のコンポーネントがインストールされています:
- シングルノードクラスターとしてのWazuhマネージャーを含むWazuhサーバー、およびWazuhAPI。
- Elasticスタック。シングルノードクラスターとしてのOpenDistrofor Elasticsearch、Filebeat、Kibana、WazuhKibanaプラグインが含まれます。
ステップバイステップのインストール
オールインワンデプロイメントでElasticsearchコンポーネント用のWazuhとOpenDistroをインストールします。指示に従って、インストールを実行するように公式リポジトリを構成します。
このインストール方法の代わりに、パッケージを使用してWazuhをインストールできます
Wazuhのインストール
Wazuhサーバーは、デプロイされたWazuhエージェントからデータを収集して分析します。 Wazuhマネージャー、Wazuh API、Filebeatを実行します。
Wazuhのセットアップを開始するには、Wazuhリポジトリをサーバーに追加します
Wazuhリポジトリの追加
#yum install curl unzip wget libGPGキーをインポートします:
#rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUHまた、リポジトリを追加します:
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOFWazuhマネージャーのインストール
したがって、Wazuhマネージャーパッケージをインストールします:
yum install wazuh-managerWazuhマネージャーサービスを有効にして開始します:
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager次のコマンドを実行して、Wazuhマネージャーがアクティブかどうかを確認します
systemctl status wazuh-managerElasticsearchのインストール
Open Distro for Elasticsearchは、拡張性の高いフルテキスト検索エンジンであるElasticsearchのオープンソースディストリビューションです。高度なセキュリティ、アラート、インデックス管理、詳細なパフォーマンス分析、およびその他のいくつかの追加機能を提供します。
Elasticsearch用のOpenDistroをインストールします:
yum install opendistroforelasticsearchElasticsearchの設定
したがって、次のコマンドを実行して、構成ファイル/etc/elasticsearch/elasticsearch.ymlをダウンロードします。 :
curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.ymlElasticsearchのユーザーとロール
Wazuh Kibanaを適切に使用するには、ユーザーとロールを追加する必要があります。
次のコマンドを実行して、WazuhユーザーとKibanaに追加のロールを追加します。
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles_mapping.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/internal_users.yml証明書の作成
デモ証明書を削除します:
rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -f証明書を生成して展開します:
wazuh-cert-tool.shをダウンロードします :
curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/wazuh-cert-tool.sh
curl -so ~/instances.yml https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/instances_aio.yml
wazuh-cert-tool.shを実行します 証明書を作成するには:
bash ~/wazuh-cert-tool.shElasticsearch証明書を対応する場所に移動します:
mkdir /etc/elasticsearch/certs/
mv ~/certs/elasticsearch* /etc/elasticsearch/certs/
mv ~/certs/admin* /etc/elasticsearch/certs/
cp ~/certs/root-ca* /etc/elasticsearch/certs/Elasticsearchサービスを有効にして開始します:
systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearchまた、Elasticsearch securityadminを実行します 新しい証明書情報をロードしてクラスターを開始するスクリプト:
export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pem次のコマンドを実行して、インストールが成功したことを確認します。
curl -XGET https://localhost:9200 -u admin:admin -k
応答の例は次のようになります。
Filebeatのインストール
したがって、Filebeatパッケージをインストールします:
yum install filebeatWazuhアラートをElasticsearchに転送するために使用される事前構成されたFilebeat構成ファイルをダウンロードします:
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/open-distro/filebeat/7.x/filebeat_all_in_one.ymlElasticsearchのアラートテンプレートもダウンロードします:
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.jsonFilebeat用のWazuhモジュールをダウンロードします:
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module
また、Elasticsearch証明書を/etc/filebeat/certsにコピーします :
mkdir /etc/filebeat/certs
cp ~/certs/root-ca.pem /etc/filebeat/certs/
mv ~/certs/filebeat* /etc/filebeat/certs/次に、Filebeatサービスを有効にして開始します。
systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeatFilebeatが正常にインストールされるようにするには、次のコマンドを実行します。
filebeat test output
Kibanaのインストール
つまり、Kibanaは、Elasticsearchに保存されているイベントやアーカイブをマイニングおよび視覚化するための柔軟で直感的なWebインターフェイスです。
Kibanaパッケージをインストールします:
yum install opendistroforelasticsearch-kibanaしたがって、Kibana構成ファイルをダウンロードします:
curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.2/open-distro/kibana/7.x/kibana_all_in_one.yml
/etc/kibana/kibana.yml内 ファイル、設定server.host 値は0.0.0.0です。 。これは、Kibanaに外部からアクセスでき、ホストで使用可能なすべてのIPを受け入れることを意味します。この値は、必要に応じて特定のIPに対して変更できます。
また、/usr/share/kibana/dataを作成します ディレクトリ:
mkdir /usr/share/kibana/data
chown -R kibana:kibana /usr/share/kibana/dataWazuhKibanaプラグインをインストールします。プラグインのインストールは、次のようにKibanaホームディレクトリから実行する必要があります。
cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.4_7.10.2-1.zip
次に、Elasticsearch証明書を/etc/kibana/certsにコピーします :
mkdir /etc/kibana/certs
cp ~/certs/root-ca.pem /etc/kibana/certs/
mv ~/certs/kibana* /etc/kibana/certs/
chown kibana:kibana /etc/kibana/certs/*Kibanaソケットを特権ポート443にリンクします:
setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node
Kibanaサービスを有効にして開始します:
systemctl daemon-reload
systemctl enable kibana
systemctl start kibanaWebインターフェイスにアクセスします:
URL: https://<wazuh_server_ip>
user: admin
password: admin
ワズダッシュボード
