Wazuh 是一款 开源的 SIEM(安全信息和事件管理) 及 HIDS(主机入侵检测系统) 解决方案,能够实时监控系统日志、检测安全威胁、执行合规性审计,并提供可视化安全分析。
Wazuh可用于入侵检测、日志分析、文件完整性监控、恶意软件检测、漏洞扫描等场景。Wazuh 适用于企业安全运营中心(SOC)、服务器与终端安全、DevSecOps 以及合规性管理,帮助企业和个人提升 IT 环境的安全性。
1. 单节点部署 Wazuh
首先,克隆 Wazuh 官方 Docker 仓库,并切换到指定版本:
git clone https://github.com/wazuh/wazuh-docker.git -b v4.11.1
进入 单节点部署目录:
cd wazuh-docker/single-node
2. 配置 Wazuh
Wazuh 由 管理器(Manager)、索引器(Indexer) 和 仪表板(Dashboard) 组成。
2.1 调整内核参数
在主机(Linux)上,提升 vm.max_map_count
以支持 Wazuh 索引器(需要 root 权限):
sysctl -w vm.max_map_count=262144
2.2 生成 SSL 证书
运行以下命令,生成用于组件间通信的证书:
docker compose -f generate-indexer-certs.yml run --rm generator
2.3 启动 Wazuh
完成配置后,启动 Wazuh 服务:
docker compose up -d
2.4 访问 Wazuh 仪表板
部署完成后,在浏览器中访问:
https://<Wazuh_IP>
默认的登录凭据为:
- 用户名:
admin
- 密码:
SecretPassword
3. 添加 Wazuh Agent
要将受监控的主机接入 Wazuh,请在 Web 仪表板中进行操作:
在 Wazuh 仪表板中添加 Agent
- 登录 Wazuh 仪表板。
- 导航到 HOME — OVERVIEW — Deploy new agent。
- 选择要监控的操作系统。
- 输入要监控的服务器地址、Agent 名称和分组。
- 复制生成的 Agent 安装命令,并粘贴到要监控的主机中执行。
验证 Agent 连接
返回到 HOME — OVERVIEW 页面,您应该能够看到新添加的 Agent。
发表回复