Wazuh 服务器部署

防火墙需要开放以下端口

• TCP:1514,1515,55000,9200,443
• UDP:514

0.安装docker和docker-compose

1.docker安装
2.docker-compose安装(linux服务器)

$ sudo curl -L "https://github.com/docker/compose/releases/download/2.16.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

$ sudo chmod +x /usr/local/bin/docker-compose

$ docker-compose --version

1.修改服务器max_map_count

$ sysctl -w vm.max_map_count=262144

2.将wazuh-project.zip上传至服务器

解压缩

$ unzip wazuh-project.zip

3. docker-compose一键启动项目

$ docker-compose up -d

等待拉取docker镜像

启动成功

首次启动，Wazuh需要生成必须的索引和索引模式，大约需要 1 分钟（速度取决于服务器的配置）

4.访问wazuh控制台

浏览器访问：https://{IP}
默认账号：admin
默认密码：elephdev
修改密码教程在下方

由于是IP和wazuh官方生成的证书访问https,需要点击忽略访问

修改密码

1.输入命令

$ docker run --rm -ti wazuh/wazuh-indexer:4.3.10 bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/hash.sh

2.输入密码(需要注意不会显示出来，输入完后回车)

3.复制生成的散列,替换文件中的当前用户哈希config/wazuh_indexer/internal_users.yml

4.INDEXER_PASSWORD将文件中所有出现的默认值更改docker-compose.yml为新密码

5.重启项目

docker-compose restart

6.进入容器

$ docker exec -it wazuh_elasticsearch_1 bash

7.执行命令

export INSTALLATION_DIR=/usr/share/wazuh-indexer
export OPENSEARCH_PATH_CONF=${INSTALLATION_DIR}/config
CACERT=$OPENSEARCH_PATH_CONF/certs/root-ca.pem
KEY=$OPENSEARCH_PATH_CONF/certs/admin-key.pem
CERT=$OPENSEARCH_PATH_CONF/certs/admin.pem
export JAVA_HOME=/usr/share/wazuh-indexer/jdk
bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh -cd /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/ -nhnv -cacert  $CACERT -cert $CERT -key $KEY -p 9300 -icl

8.退出容器