Agent Wazuh
L'agent Wazuh est multiplateforme et s'exécute sur les hôtes que l'utilisateur souhaite surveiller. Il communique avec le gestionnaire Wazuh, en envoyant des données en temps quasi réel via un canal crypté et authentifié.
L'agent a été développé en tenant compte de la nécessité de surveiller une grande variété de terminaux différents sans affecter leurs performances. Par conséquent, il est pris en charge sur les systèmes d'exploitation les plus populaires et ne nécessite qu'environ 0,1 Go de RAM
Déployer des agents Wazuh sur des systèmes Linux
Ainsi, l'agent s'exécute sur l'hôte que vous souhaitez surveiller et communique avec le gestionnaire Wazuh, en envoyant des données en temps quasi réel via un canal crypté et authentifié.
Le déploiement d'un agent Wazuh sur un système Linux utilise des variables de déploiement qui facilitent la tâche d'installation, d'enregistrement et de configuration de l'agent. Alternativement, si vous souhaitez télécharger directement le package de l'agent Wazuh
Ajouter le référentiel Wazuh
Ajoutez le référentiel Wazuh pour télécharger les packages officiels.
Importer la clé GPG :
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUHAjouter le référentiel :
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF
Déployer un agent Wazuh
Pour déployer l'agent Wazuh sur votre système, sélectionnez votre gestionnaire de packages et modifiez le WAZUH_MANAGER variable pour contenir l'adresse IP ou le nom d'hôte de votre gestionnaire Wazuh.
WAZUH_MANAGER="10.0.0.2"
yum install wazuh-agentN'oubliez pas de mettre à jour /etc/hosts sur les deux serveurs avec l'adresse IP et le nom d'hôte du serveur et de l'agent
Activer et démarrer le service d'agent Wazuh
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent
Le processus de déploiement est maintenant terminé et l'agent Wazuh s'exécute avec succès sur votre système Linux.
Action recommandée – Désactiver les mises à jour Wazuh
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repoDésinstaller un agent Wazuh
Pour désinstaller l'agent, sélectionnez votre gestionnaire de packages et exécutez la commande suivante.
yum remove wazuh-agent
Certains fichiers marqués comme fichiers de configuration. En raison de cette désignation, le gestionnaire de packages ne supprime pas ces fichiers du système de fichiers. Si vous souhaitez supprimer complètement tous les fichiers, supprimez le /var/ossec dossier.
Vérification de la connexion avec le gestionnaire
Avant de vérifier la connexion de l'agent avec le gestionnaire, assurez-vous d'abord que l'agent pointe vers l'adresse IP du gestionnaire. Ceci est défini dans ossec.conf en utilisant le <client> Balise XML. Pour en savoir plus
<ossec_config>
<client>
<server>
<address>10.0.0.10</address>
<protocol>tcp</protocol>
</server>
</client>
</ossec_config>Cela définira 10.0.0.10 comme serveur Wazuh. Une fois cela fait, vous devrez redémarrer l'Agent :
systemctl restart wazuh-agentUne fois que vous avez enregistré l'agent et qu'il s'est connecté avec succès, vous pouvez voir une liste des agents qui sont_ connectés au gestionnaire avec
/var/ossec/bin/agent_control -lcVous pouvez également vérifier si un agent s'est correctement connecté en vérifiant si la connexion TCP au gestionnaire est établie :
netstat -vatunp|grep wazuh-agentd
Ou
Vérifiez que l'agent s'est correctement connecté :
# grep ^status /var/ossec/var/run/wazuh-agentd.state
Le résultat doit correspondre aux adresses IP de l'agent et du gestionnaire.
