Documentação WAZUH SIEM Open Source

Wazuh Manager:
Instalação

Depois que o repositório Ansible for clonado, prosseguiremos com a instalação do gerenciador Wazuh. A instalação seguirá os passos abaixo:

1 – Acessando o diretório wazuh-ansible

Acessamos o conteúdo do diretório no servidor Ansible para onde clonamos o repositório. Podemos ver as funções que temos executando o comando abaixo no diretório clonado:

cd /etc/ansible/roles/wazuh-ansible/
tree roles -d

Saída:

roles
├── ansible-galaxy
│   └── meta
└── wazuh
    ├── ansible-filebeat-oss
    │   ├── defaults
    │   ├── handlers
    │   ├── meta
    │   ├── tasks
    │   └── templates
    ├── ansible-wazuh-agent
    │   ├── defaults
    │   ├── handlers
    │   ├── meta
    │   ├── tasks
    │   └── templates
    ├── ansible-wazuh-manager
    │   ├── defaults
    │   ├── files
    │   │   └── custom_ruleset
    │   │       ├── decoders
    │   │       └── rules
    │   ├── handlers
    │   ├── meta
    │   ├── tasks
    │   ├── templates
    │   └── vars
    ├── wazuh-dashboard
    │   ├── defaults
    │   ├── handlers
    │   ├── tasks
    │   ├── templates
    │   └── vars
    └── wazuh-indexer
        ├── defaults
        ├── handlers
        ├── meta
        ├── tasks
        └── templates

E podemos ver as playbooks pré-configurados que temos executando o comando abaixo:

tree playbooks/

playbooks
├── ansible.cfg
├── wazuh-agent.yml
├── wazuh-dashboard.yml
├── wazuh-indexer.yml
├── wazuh-manager-oss.yml
├── wazuh-production-ready.yml
└── wazuh-single.yml

Vejamos a seguir o conteúdo do arquivo YAML /etc/ansible/roles/wazuh-ansible/playbooks/wazuh-manager-oss.yml que iremos executar para uma instalação completa do servidor.

cat wazuh-manager-oss.yml/

---
- hosts: managers
  roles:
    - role: ../roles/wazuh/ansible-wazuh-manager
    - role: ../roles/wazuh/ansible-filebeat-oss
      filebeat_output_indexer_hosts:
      - ":9200"
      - ":9200"
      - ":9200"

Mais detalhes sobre variáveis ​​de configuração padrão podem ser encontrados na seção de referências de variáveis.

2 – Preparando-se para executar a playbook

Podemos criar um arquivo YAML semelhante ou modificar aquele que já temos para adaptá-lo à nossa configuração. Neste caso, vamos modificar o arquivo wazuh-manager-oss.yml e incluir o endereço IP da máquina onde vamos instalar o gerenciador Wazuh na seção hosts e o endereço IP da máquina onde instalamos o gerenciador Wazuh. Serviço indexador Wazuh para o campo filebeat_output_indexer_hosts.
Nosso arquivo resultante é:

---
- hosts: all_in_one
  roles:
    - role: ../roles/wazuh/ansible-wazuh-manager
    - role: ../roles/wazuh/ansible-filebeat-oss
      filebeat_node_name: node-1
      filebeat_output_indexer_hosts:
      - "127.0.0.1:9200"

3 – Executando a playbook

gora estamos prontos para executar a playbook e iniciar a instalação. No entanto, algumas das operações a serem executadas nos sistemas remotos necessitarão de permissões sudo. Podemos resolver isso de várias maneiras, seja optando por inserir a senha quando o Ansible solicitar ou utilizando a opção tornar-se (para evitar inserir as senhas uma por uma).

1 - Vamos executar a playbbok.
Mude para a pasta playbooks no servidor Ansible e execute o comando abaixo:

ansible-playbook wazuh-manager-oss.yml -b -K

2 - Podemos verificar o status dos novos serviços em nosso servidor Wazuh.

Wazuh manager

systemctl status wazuh-manager

Filebeat

systemctl status filebeat

Fonte: Wazuh documentation

Fale com um especialista »