Agente Wazuh
El agente de Wazuh es multiplataforma y se ejecuta en los hosts que el usuario desea monitorear. Se comunica con el administrador de Wazuh y envía datos casi en tiempo real a través de un canal encriptado y autenticado.
El agente se desarrolló teniendo en cuenta la necesidad de monitorear una amplia variedad de puntos finales diferentes sin afectar su rendimiento. Por lo tanto, es compatible con los sistemas operativos más populares y solo requiere alrededor de 0,1 GB de RAM
Implementación de agentes de Wazuh en sistemas Linux
Entonces, el agente se ejecuta en el host que desea monitorear y se comunica con el administrador de Wazuh, enviando datos casi en tiempo real a través de un canal encriptado y autenticado.
La implementación de un agente de Wazuh en un sistema Linux utiliza variables de implementación que facilitan la tarea de instalar, registrar y configurar el agente. Alternativamente, si desea descargar el paquete del agente de Wazuh directamente
Agregar el repositorio de Wazuh
Agregue el repositorio de Wazuh para descargar los paquetes oficiales.
Importar la clave GPG:
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUHAgrega el repositorio:
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF
Desplegar un agente de Wazuh
Para implementar el agente de Wazuh en su sistema, seleccione su administrador de paquetes y edite el WAZUH_MANAGER variable para contener su dirección IP o nombre de host del administrador de Wazuh.
WAZUH_MANAGER="10.0.0.2"
yum install wazuh-agentNo olvide actualizar /etc/hosts en ambos servidores con IP y nombre de host del servidor y el agente
Habilitar e iniciar el servicio de agente de Wazuh
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent
El proceso de implementación ahora está completo y el agente de Wazuh se está ejecutando correctamente en su sistema Linux.
Acción recomendada – Deshabilitar las actualizaciones de Wazuh
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repoDesinstalar un agente de Wazuh
Para desinstalar el agente, seleccione su administrador de paquetes y ejecute el siguiente comando.
yum remove wazuh-agent
Algunos archivos marcados como archivos de configuración. Debido a esta designación, el administrador de paquetes no elimina estos archivos del sistema de archivos. Si desea eliminar por completo todos los archivos, elimine el /var/ossec carpeta.
Comprobando la conexión con el Administrador
Antes de verificar la conexión del agente con el administrador, primero asegúrese de que el agente apunte a la dirección IP del administrador. Esto se establece en ossec.conf usando el <client> etiqueta XML. Para más sobre esto
<ossec_config>
<client>
<server>
<address>10.0.0.10</address>
<protocol>tcp</protocol>
</server>
</client>
</ossec_config>Esto configurará 10.0.0.10 como el servidor de Wazuh. Una vez hecho esto, deberá reiniciar el Agente:
systemctl restart wazuh-agentDespués de registrar el agente y conectarlo con éxito, puede ver una lista de agentes que están conectados al administrador con
/var/ossec/bin/agent_control -lcTambién puede verificar si un agente se conectó correctamente verificando si se estableció la conexión TCP con el administrador:
netstat -vatunp|grep wazuh-agentd
O
Verifique que el agente se haya conectado correctamente:
# grep ^status /var/ossec/var/run/wazuh-agentd.state
El resultado debe coincidir con las direcciones IP del agente y del administrador.
