1

我们确实有一台服务器 [Windows Server 2016],我想通过安装 Wazuh Tool 来监控该服务器。

我看到了文档,但我仍然感到困惑。我是否需要安装,

Wazuh Server
Wazuh Agent
Kibana

在服务器中。?我没有看到任何与在 Windows 机器中安装 Wazuh Server 相关的文章。

在跟进 wazuh 文档后,我可以达到一定的限制。

  1. 在 Windows Server 中安装了 Virtual Box。
  2. 下载 Wazuh OVA 文件并将其导入虚拟盒子。
  3. 现在我可以使用默认凭据连接到 Wazuh Server。

现在我卡在一个地方。我需要获取IP。我尝试使用“Ip addr”命令。但仍然显示 127.0.0.1/8

据我检查,它正在创建一些动态 IP。有没有办法设置静态IP。这样,我就可以通过该 IP 访问 Wazuh Web 控制台。

我的一些发现:

似乎虚拟机的 eth0 网络接口没有分配给它的 IPv4 地址。

在运行“ip addr”时文档的视频中,它显示了一个动态 IPv4 地址以及 IPv6 地址,所以我怀疑这是您无法访问 Web 控制台的原因。这可能是由您为虚拟机中的虚拟机创建的网络接口类型引起的。

-------- 已编辑---------

根据您的指导,我做了以下事情。

瓦祖服务器:

  1. 虚拟盒 -> 适配器 1 -> 桥接适配器
  2. Virtual Box -> 适配器 2 -> 仅主机适配器
  3. 启动 Virtual Box 并检查“Ip addr”命令。得到以下 IP,eth0 [192.168..] 和 eth1 [10.0..]
  4. 在浏览器中,我尝试了 https://192.168 .. 我可以登录到 kibana。

华祖代理:

我要监控的服务器,我安装了 Wazuh Agent。在 Wazuh 配置文件中,我需要指定

在这里我有点困惑。我是否需要提供实际的服务器 IP [wazuh 服务器所在的位置] 还是我需要指定我在“Ip Addr”命令中获得的 IP。

我已经尝试了所有的IP。当我检查日志时,它显示为,

start_agent.c:100 at connect_server():错误:(1216):无法连接到“xx.xx.xx.xxx”:“错误的文件描述符”。

4

1 回答 1

0

我建议您阅读架构指南,以更好地了解 Wazuh 的工作原理。它的架构是基于代理的,这意味着你需要在你想要监控的那些端点(例如,你的 Windows 服务器)上安装 Wazuh 代理,然后将这些代理连接到 Wazuh Manager 服务器(需要安装在 Linux机器,因此您将需要另一台服务器)。

Kibana/Splunk 是可选且有用的工具,用于索引管理器生成的数据以实现更好的可视化。我推荐使用 Kibana 和 Elasticsearch Stack。

对于 Linux Wazuh Manager 服务器,我建议尝试多合一部署,或者,如果您连接的代理很少并且不想从头开始部署任何实例,您可以尝试预构建的虚拟机设备 (OVA)

我希望这可以帮助你。开始使用 Wazuh 的最佳点是入门指南。我建议你首先阅读。

- - - - - - - - - - - - 编辑 - - - - - - - - - -

你好,

如果我不够清楚,我很抱歉。Wazuh 有两个主要组件:Manager(文档中的服务器)和 Agent。

管理器也称为服务器,因为它服务于 Wazuh 服务本身。这意味着 Wazuh 分析安全事件并生成警报的部分。

但是 Wazuh 代理(尽管它的名称)也安装在您要监控的服务器上,它用于将安全事件发送到 Wazuh Manager(服务器),以便对其进行分析。

也就是说,如果您想正确监控 Windows 服务器,则需要在其上安装 Wazuh Windows 代理,因为它旨在监控 Windows 服务器。您需要将此代理连接到 Wazuh 服务器。在这里,您有不同的选择:

  • 您可以在另一个 (Linux) 服务器上安装 Wazuh Manager。
  • 您可以在您的 Windows 服务器上安装 docker 和 docker-compose 并使用 wazuh-docker GitHub 存储库来部署 Wazuh 管理器堆栈(使用 Wazuh、Elasticsearch 和 Kibana)来连接您(代理)。
  • 您可以在 Virtualbox 或类似软件上安装 Wazuh OVA(VM 设备)(此虚拟机默认安装了 Wazuh Manager、Elasticsearch 和 Kibana)。

我看到你正在尝试第四个,在 Virtualbox 上部署 Wazuh OVA。不过,请记住,您还必须安装 Windows 代理并将其连接到 Wazuh Manager。

关于IP问题。我的建议是输入机器的 VirtualBox 配置并设置两个网络接口(或适配器)。一个仅主机适配器(将具有可用于从本地浏览器连接的静态 IP)和另一个带有桥接适配器(用于连接到 Internet)。然后,我建议使用 nmtui(网络管理器的控制台用户界面)来设置您的静态 IP,如附加捕获中所示。这应该足够了。

在此处输入图像描述

于 2020-12-29T08:15:13.623 回答