# 部署wazuh实现对多台 Ubuntu 主机进行集中监控 对多台 Ubuntu 主机(例如 Ubuntu 18.04)进行集中监控,同时实现 \*\*主机入侵检测(HIDS)\*\* 和 \*\*行为监控\*\*,以下是一个轻量级、实用的集中监控方案,适用于中小型企业: \### ✅ 方案目标 \* 实现主机入侵检测(Host-based IDS) \* 实现进程、登录、系统变更等行为监控 \* 支持集中化日志采集与统一展示 \* 成本低、依赖少,易于部署和维护 \## 🧩 架构组件 | 角色 | 工具 | 说明 | | ------------------- | ------------------------------------------------- | ---------------------------- | | Agent(每台 Ubuntu 主机) | \[Wazuh Agent\](https://documentation.wazuh.com) | 实时监控主机安全事件(文件完整性、登录、root提权等) | | 集中服务器 | Wazuh Manager + Filebeat + Elasticsearch + Kibana | 管理所有 Agent 数据,并提供可视化界面 | | 日志转发 | Filebeat | 将日志高效传输至 Elasticsearch | | 可选轻量级替代 | \[OSSEC\](https://www.ossec.net/) + Graylog | 更轻的方案,但功能相对简单 | \--- \## 🛠️ 部署简要步骤 \### 1. 安装 Wazuh Server(集中监控端) 部署在一台专用 Ubuntu 主机(建议 ≥4C/8G) cp /etc/apt/sources.list /etc/apt/sources.list.bak cat > /etc/apt/sources.list << EOF deb https://mirrors.aliyun.com/ubuntu/ bionic main restricted universe multiverse deb-src https://mirrors.aliyun.com/ubuntu/ bionic main restricted universe multiverse deb https://mirrors.aliyun.com/ubuntu/ bionic-security main restricted universe multiverse deb-src https://mirrors.aliyun.com/ubuntu/ bionic-security main restricted universe multiverse deb https://mirrors.aliyun.com/ubuntu/ bionic-updates main restricted universe multiverse deb-src https://mirrors.aliyun.com/ubuntu/ bionic-updates main restricted universe multiverse deb https://mirrors.aliyun.com/ubuntu/ bionic-backports main restricted universe multiverse deb-src https://mirrors.aliyun.com/ubuntu/ bionic-backports main restricted universe multiverse EOF apt update && apt upgrade -y ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime &&\\ apt-get install ntpdate -y &&\\ if ! crontab -l | grep "ntpdate" &>/dev/null; then (echo "\*/5 \* \* \* \* /usr/sbin/ntpdate ntp.aliyun.com >/dev/null 2>&1"; crontab -l) | crontab fi linux系统通过代理上网 vi ~/.bashrc 在文件末尾添加以下内容 cat >> ~/.bashrc << EOF export http\_proxy="http://192.168.8.5:1080" export https\_proxy="http://192.168.8.5:1080" export ftp\_proxy="http://192.168.8.5:1080" export no\_proxy="localhost,127.0.0.1,::1" EOF 保存关闭 source ~/.bashrc sudo vi /etc/apt/apt.conf.d/95proxies 添加以下内容: Acquire::http::Proxy "http://192.168.8.5:1080"; Acquire::https::Proxy "http://192.168.8.5:1080"; Acquire::ftp::Proxy "http://192.168.8.5:1080"; 在系统级别配置代理,以便所有应用程序都使用代理服务器 sudo vi /etc/environment http\_proxy="http://192.168.8.5:1080" https\_proxy="http://192.168.8.5:1080" ftp\_proxy="http://192.168.8.5:1080" no\_proxy="localhost,127.0.0.1,::1" 保存关闭 sudo reboot http\_proxy="http://10.2.2.24:1080" https\_proxy="http://10.2.2.24:1080" ftp\_proxy="http://10.2.2.24:1080" no\_proxy="localhost,127.0.0.1,::1" 如果你还需要Docker通过代理上网,可以通过以下步骤配置Docker代理。 创建Docker的systemd目录(如果不存在): sudo mkdir -p /etc/systemd/system/docker.service.d sudo vi /etc/systemd/system/docker.service.d/http-proxy.conf 添加以下内容: \[Service\] Environment="HTTP\_PROXY=http://192.168.8.5:1080" Environment="HTTPS\_PROXY=http://192.168.8.5:1080" Environment="NO\_PROXY=localhost,127.0.0.1,::1" 保存关闭 sudo systemctl daemon-reload sudo systemctl restart docker curl -sO https://packages.wazuh.com/4.12/wazuh-install.sh && sudo bash ./wazuh-install.sh -a 在 Wazuh 4.x(包括你安装的 4.12.0)中,`admin` 是一个系统保留账户,不允许通过 Web 界面或 API 直接重设密码。 \## ✅ 正确的解决方法: \### 🛠 方法一:在命令行重置 `admin` 密码 你可以在 \*\*Wazuh Dashboard 所在的主机上\*\*运行以下命令来重置密码: ```bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.s reset-admin ``` 这将: \* 生成一个新密码 \* 输出密码(请记得保存) \### 🛠 方法二:手动设置密码(推荐) ```bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh --user admin --password 新密码 ``` 例如: /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh --user admin --password Heli@147369. 执行后会看到提示密码修改成功。 \## ✅ 修改后重启 Wazuh Dashboard(可选) 如果你登录仍有问题,可重启 Dashboard 服务: systemctl restart wazuh-dashboard 安装agent 官方方法:在ubuntu20.04 18.04 14.04上测试通过 wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent\_4.12.0-1\_amd64.deb && sudo WAZUH\_MANAGER='10.2.2.16' WAZUH\_AGENT\_NAME='ubuntu20.04-2.18' dpkg -i ./wazuh-agent\_4.12.0-1\_amd64.deb 10.2.2.16 替换为 wazuh server端ip地址 ubuntu20.04-2.18 替换为该agent的名称 sudo systemctl daemon-reload &&\\ sudo systemctl enable wazuh-agent &&\\ sudo systemctl start wazuh-agent 其他方法,在ubuntu14.04上测试通过 curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg echo "deb \[signed-by=/usr/share/keyrings/wazuh.gpg\] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list apt-get update apt-get install gnupg apt-transport-https curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add - echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list WAZUH\_MANAGER="192.168.30.49" apt-get install wazuh-agent ubuntu安装客户端 service wazuh-agent start service wazuh-agent status wazuh-modulesd is running... wazuh-logcollector is running... wazuh-syscheckd is running... wazuh-agentd is running... wazuh-execd is running... 卸载方法: 1\. 停止 agent 服务(可选但推荐): sudo systemctl stop wazuh-agent 2\. 卸载 wazuh-agent: sudo apt-get remove --purge wazuh-agent -y 3\. 删除相关配置文件(可选,如果你想彻底清除): sudo rm -rf /var/ossec sudo rm -rf /etc/ossec-init.conf sudo rm -rf /etc/systemd/system/wazuh-agent.service 4\. 更新 systemd(可选): sudo systemctl daemon-reload \## ✅ 修改 agent 名称的正确方式 Wazuh agent 的名称保存在配置文件中,你可以按以下步骤修改: \### 1. 停止 agent 服务 ```bash sudo systemctl stop wazuh-agent ``` \### 2. 修改配置文件 `/var/ossec/etc/ossec.conf` 找到如下配置段落(大约在前几十行): ```xml <client> <name>ubuntu14.04-2.14</name> <server-ip>10.2.2.16</server-ip> </client> ``` 将 `<name>` 修改为你想要的新名称,例如: ```xml <client> <name>ubuntu14.04-new</name> <server-ip>10.2.2.16</server-ip> </client> ``` 保存退出。 \--- \### 3. 删除旧的 `client.keys` 条目(可选,若你在 manager 上要重配) 登录 Wazuh Manager,然后运行: ```bash /var/ossec/bin/manage\_agents ``` 选择: \* `R` 删除旧名称对应的 agent \* `A` 添加新名称 \* `E` 保存并分发 key,得到以下这串字符 MDA0IHVidW50dTE0LjA0LWNjaW90LTIuMTQgMTAuMi4yLjE0IDEwMjJiY2U2N2ViNGY2MmYzMTAzZGZjNTFlZWMzYzBhNjE1ZjI1ZGNmNzU4ZGRlNjRiMmZjMmY3MWMxMGI1ZWM= 到 agent 端运行: /var/ossec/bin/manage\_agents 选 I ,粘贴key 上面那串字符 \### 4. 重启 agent 服务 ```bash sudo systemctl start wazuh-agent ``` \--- \### ✅ 验证新名称是否生效 查看 agent 日志: ```bash sudo tail -f /var/ossec/logs/ossec.log ``` 你应该能看到类似如下内容: ``` ossec-agent: INFO: Using agent name as configured: 'ubuntu14.04-new' ``` 在 Wazuh Manager UI 中刷新 agent 列表,也应能看到新名称。