Wazuh 是一款 开源的 SIEM（安全信息和事件管理） 及 HIDS（主机入侵检测系统） 解决方案，能够实时监控系统日志、检测安全威胁、执行合规性审计，并提供可视化安全分析。
Wazuh可用于入侵检测、日志分析、文件完整性监控、恶意软件检测、漏洞扫描等场景。Wazuh 适用于企业安全运营中心（SOC）、服务器与终端安全、DevSecOps 以及合规性管理，帮助企业和个人提升 IT 环境的安全性。

1. 单节点部署 Wazuh

首先，克隆 Wazuh 官方 Docker 仓库，并切换到指定版本：

git clone https://github.com/wazuh/wazuh-docker.git -b v4.11.1

进入 单节点部署目录：

cd wazuh-docker/single-node

2. 配置 Wazuh

Wazuh 由 管理器（Manager）、索引器（Indexer） 和 仪表板（Dashboard） 组成。

2.1 调整内核参数

在主机（Linux）上，提升 vm.max_map_count 以支持 Wazuh 索引器（需要 root 权限）：

sysctl -w vm.max_map_count=262144

2.2 生成 SSL 证书

运行以下命令，生成用于组件间通信的证书：

docker compose -f generate-indexer-certs.yml run --rm generator

2.3 启动 Wazuh

完成配置后，启动 Wazuh 服务：

docker compose up -d

2.4 访问 Wazuh 仪表板

部署完成后，在浏览器中访问：

https://<Wazuh_IP>

默认的登录凭据为：

• 用户名：admin
• 密码：SecretPassword

---

3. 添加 Wazuh Agent

要将受监控的主机接入 Wazuh，请在 Web 仪表板中进行操作：

在 Wazuh 仪表板中添加 Agent

1. 登录 Wazuh 仪表板。
2. 导航到 HOME — OVERVIEW — Deploy new agent。
3. 选择要监控的操作系统。
4. 输入要监控的服务器地址、Agent 名称和分组。
5. 复制生成的 Agent 安装命令，并粘贴到要监控的主机中执行。

验证 Agent 连接
返回到 HOME — OVERVIEW 页面，您应该能够看到新添加的 Agent。