Wazuh：最受欢迎的开源HIDS体系在甲方安全创建中的应用(文末送书) ...

---

前言

Wazuh，作为一款顶级的开源主机入侵检测体系（HIDS），在甲方安全创建中扮演着至关重要的角色。
本文为各人提供一个全面的Wazuh安装和使用指南，帮助在企业安全创建中利用这一强大的安全工具来增强网络安全防护。
由于提供了详细的步骤，所以篇幅可能会有点长。写这篇文章的目标也很简朴，网上其他关于wazuh的文章和教程着实是太乱了，wazuh在2024年的今天已经更新到4.8.1版本，无论是安装还是功能都有了质的突破，网上的wazuh文章互相抄袭严重，不同的标题但是过程如出一辙，非常麻烦不说，跟着操作还报错，也不提供办理办法。
在我耗时1个星期，踩坑无数，终于总结成了这篇文章，我可以很负责任的说，入门部署wazuh，看我这一篇就够了！
文章末尾我也提供了故障排除指南和最佳实践建议，确保各人能够高效地维护和优化Wazuh部署。无论是对于网络安全新手还是经验丰富的专业人士，本文都旨在成为一个宝贵的资源，帮助他们在甲方安全创建中有效地利用Wazuh这一开源HIDS体系。

---

提示：以下是本篇文章正文内容，下面案例可供参考
一、安装

https://github.com/wazuh/wazuh
这是wazuh的官方开源仓库。

9.9k的stars，遥遥领先！免费的永久是最好的，也是老板们最喜好的，能白嫖就优先用，迫不得已再买乙方的产品。（狗头）
这是wazuh的官方参考文档：
https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html
后续有任何题目都可以查阅这个官方手册。

我们开始安装，其中wazuh分为服务端和客户端，服务端又细分为3个：indexer、manager、dashboard。客户端就是agent。
1.1 服务端安装

服务端安装有两种办法，一种是快速安装，另一个就是分布式安装。
1.1.1 快速安装

快速安装，一条命令办理：

1. curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

复制代码

是的，就是这么简朴。
我的服务器是ubuntu:

如果报错，说明是服务器的内存不敷，加-i参数就可以忽略这个服务器的配置。
   如今wazuh的推荐配置是：4Gb of RAM and 2 CPU cores.太低的话，可能会造成卡顿。

1. ERROR: Your system does not meet the recommended minimum hardware requirements of 4Gb of RAM and 2 CPU cores.

复制代码

1. curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
2. -i

复制代码

如许就能安装好了。而且主动弹出用户名和暗码，暗码可以登录后修改。

访问服务器的ip就可以主动跳转到wazuh的主页。

输入用户名和暗码之后进到dashboard主页：

1.2 客户端安装

左上角菜单栏点击 Home–> Overview，点击Actice就可以安装不同客户端的agent。
   由于我是第二次安装，我本机的agent还没有删除，所以页面跟你们的不太一样，实际上初次安装的时间是没有agent的，它会主动弹出一个黄色的安装agent的提示框，点击之后的结果和我这里的操作其实是一样的，所以题目不大。
  

点击Deploy new agent，添加一个新的agent。

根据要监控的电脑体系选择不同的版本，我的电脑是macOS M2芯片，所以我选择macOS Apple silicon。其他不同的体系也类似，按类型选择即可。

Server address填写服务器的ip地址，其他的默认。注意这里的agent name终极会表现在服务器端，所以如果要真实落地部署，这里最好设置成公司员工的姓名拼音，如许就可以更好的辨认和管理。

接着运行它输出的两条安装命令就行，这个根据实际环境来。先实验第四步的安装命令，再实验第五步的启动命令。
然后agent就能上线控制台了。

如果agent客户端存在高风险操作，记录和告警都会表现在Discover这里。

1.2.1 接入钉钉机器人(主动告警)

钉钉是很方便的，新建一个群聊，添加自定义机器人。把wazuh的告警信息主动推送到钉钉，如许就能做到实时检察，不消人工的去控制台检察告警了，非常方便。

怎样监测呢？其实wazuh的所有告警日志都会存储在这个文件中：

1. /var/ossec/logs/alerts/alerts.log

复制代码

所以我们的钉钉脚本只必要如许开发就可以了,下面说说我的开发思路：

• python实现功能①：每隔3秒监测 /var/ossec/logs/alerts/alerts.log
  文件的变化。
  
• 如果 /var/ossec/logs/alerts/alerts.log
  文件发生变化，则将变化的最新内容（也就是末了以Alert开头的json内容打印输出到钉钉）
  

告警日志的格式其实很好筛选，写个正则就行了。

1.3 客户端agent卸载

https://documentation.wazuh.com/current/installation-guide/uninstalling-wazuh/agent.html#uninstalling-macos-agent
不同的客户端卸载方式不一样，基本上都是几条命令的事情，很简朴。选择不同的客户端体系，按照要求来卸载就行。

我直接把macOS的agent卸载命令汇总成一条了，直接运行就能卸载。

1. sudo /Library/Ossec/bin/wazuh-control stop && sudo /bin/rm -r /Library/Ossec && sudo /bin/rm -f /Library/LaunchDaemons/com.wazuh.agent.plist && sudo /bin/rm -rf /Library/StartupItems/WAZUH && sudo /usr/bin/dscl . -delete "/Users/wazuh" && sudo /usr/bin/dscl . -delete "/Groups/wazuh" && sudo /usr/sbin/pkgutil --forget com.wazuh.pkg.wazuh-agent

复制代码

卸载完agent会下线，但是依然会在控制台留有记录。如果想完全删除怎么办？可以看下一节的大标题，Wazuh安全运维汇总，里面会有各种你想要的答案。

二、Wazuh安全运维汇总

2.0. 怎样在控制台卸载agent

如果安装上一节提到的卸载方式卸载，那么同事肯定心里暗骂你，这么麻烦，还搞什么安全？以后安全部门仇恨值+1…… 众所周知，安全部门在公司的地位是很低的