wazuh简介

wazuh官网：https://wazuh.com/

wazuh是一款基于主机的IDS（HIDS）,有着十分强大检测的功能，并且是一款免费的开源工具。

服务端安装

wazuh分为服务端和客户端，服务端的安装方法在官网上有详细教程（https://documentation.wazuh.com/current/deployment-options/elastic-stack/all-in-one-deployment/index.html）
如果想采用命令安装的话建议跟随官方的配置文档，非常详细。

yum install curl unzip wget libcap net-tools

配置源
/etc/yum.repos.d/wazuh.repo

[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1

yum install wazuh-manager

或者官网有离线的rpm包，后续的agent也需要在官网下载

安装完后，启动
systemctl status wazuh-manager

如果不想一步步编译安装的话，也可以下载官方打包好的OVA文件（https://packages.wazuh.com/4.x/vm/wazuh-4.5.0.ova），下载好后只需要导入VMware即可使用。

服务器端安装了wazuh的服务后，服务自动就会采集本台服务器上的信息，服务器上不需要再装agent
默认目录为
cd /var/ossec/

active-response：响应的脚本
agentless：无代理安装，即用户名密码
etc：配置，ossec.conf核心配置文件
ruleset：自带规则库，建议不改
log：日志，预警核心

以下两个目录记录了何时、触发了哪些规则
/var/ossec/logs/alerts/alerts.json：json格式的预警信息，用于分析展示，这不就是给elk用于展示的嘛
/var/ossec/logs/alerts/alerts.log：适用于直接查看

wazuh的OVA默认用户为wazuh-user，密码为wazuh。安装完成后可通过浏览器链接虚拟机的IP地址来使用图形化界面。

默认用户和密码均为admin。

客户端安装

客户端可在服务端配置完成后通过图形化界面配置

根据客户端的系统版本生成配置命令后将配置命令复制进客户端执行即可。
这里有一个小插曲，我的 CentOS 7 无法执行客户端配置命令，可能是因为我使用的CentOS7为最小化安装的原因，使用带图形化界面的 Red Hat 8 顺利安装成功。

监控客户端信息

客户端配置完成并启动服务后就可以在服务端图形化界面上查看信息了

wazuh客户端连接到服务端后会自动进行SCA（Security configuration assessment）检查并提供改进建议