第三届全国技能大赛网络安全(模块A)赛题复现与练习(八)—Wazuh-Agent 跨系统部署
本文基于已部署的 Wazuh-Server(IP:10.0.8.2),提供 Windows Server(以 DC 服务器为例)与 Linux Server(以 APP 服务器为例)的 Wazuh-Agent 标准化部署流程,实现 Agent 与 Server 的通信对接、日志上报及状态监控,最终构建服务器安全监控闭环。Wazuh-Server IP(10.0.8.2)、Agent 名称(如 DC
一、概述
1.1 核心目标
本文基于已部署的 Wazuh-Server(IP:10.0.8.2),提供 Windows Server(以 DC 服务器为例)与 Linux Server(以 APP 服务器为例)的 Wazuh-Agent 标准化部署流程,实现 Agent 与 Server 的通信对接、日志上报及状态监控,最终构建服务器安全监控闭环。
1.2 基础环境
|
类别 |
版本 / 配置要求 |
|
Wazuh-Server |
4.7.5 版本(已正常运行,Web 端可访问) |
|
Windows 服务器 |
Windows Server 2022 |
|
Linux 服务器 |
CentOS 9 |
|
网络环境 |
服务器可访问 Wazuh-Server(10.0.8.2) |
|
复现平台支持 |
1.3 技术栈与依赖
- 部署工具:PowerShell(Windows)、Bash(Linux)、Wazuh-Web 控制台(10.0.8.2)
二、前置准备与环境检查
2.1 基础环境验证
|
检查项 |
验证操作 |
|
Wazuh-Server 可用性 |
浏览器访问 https://10.0.8.2/app/wazuh |
|
外网访问能力(在线安装) |
Windows:Invoke-WebRequest -Uri https://packages.wazuh.com -OutFile NUL Linux:curl -I https://packages.wazuh.com |
2.2 工具与资源准备
|
类别 |
具体内容 |
|
离线安装包(内网环境) |
Windows:wazuh-agent-4.7.5-1.msi Linux:wazuh-agent-4.7.5-1.x86_64.rpm |
|
配置文件模板 |
ossec.conf(Wazuh-Agent 默认配置文件,路径:Windows→C:\Program Files (x86)\ossec-agent;Linux→/var/ossec/etc) |
|
验证工具 |
Windows:事件查看器(eventvwr.msc)、PowerShell Linux:systemctl、tail(日志查看) |
|
记录信息 |
Wazuh-Server IP(10.0.8.2)、Agent 名称(如 DC 服务器→dc,APP 服务器→app) |
三、Windows 服务器(以 DC 服务器为例)Wazuh-Agent 部署
3.1 安装流程(有外网环境)
步骤 1:从 Web 端获取安装命令
- 打开浏览器,访问 Wazuh-Server Web 控制台:https://10.0.8.2/app/wazuh,登录后进入「Agents」页面;
选择系统并输入wazuh-server地址之后会获得一个命令
可以从这个命令看出来,只是简单的从外网下载wazuh-agent安装包 然后安装了一下,所以如果有安装包的话,只需要输入对应的地址和当前agent名称就可以了,系统自动生成安装命令,复制命令(含下载与安装逻辑):
|
Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.5-1.msi -OutFile ${env.tmp}\wazuh-agent;msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='10.0.8.2' WAZUH_AGENT_NAME='dc'WAZUH_REGISTRATION_SERVER='10.0.8.2' |
步骤 2:执行安装命令
dc服务器中输入这个命令,由于我们接入了天枢一体化虚拟仿真靶场平台的dubhenat,目前是一个有外网的情况,所以直接下载安装即可使用powerishell直接安装并启动即可
步骤 3:启动 Wazuh-Agent 服务
在 PowerShell 中执行启动命令:
然后就可以看到dc上线了
我们可以在这个文件中配置日志上报信息等
四、 APP 服务器Wazuh-Agent 部署
4.1 在线安装流程(有外网环境)
步骤 1:从 Web 端获取安装命令
- 进入 Wazuh-Server Web 控制台「Agents」
- 复制生成的 RPM 安装命令
步骤 2:执行安装命令
- 以 root 身份登录 Linux 服务器(或执行sudo -i切换至 root);
|
[root@localhost ~]# curl -o wazuh-agent-4.7.5-1.x86_64.rpm https://packages.wazuh.com/4.x/yum/wazuh-agent-4.7.5-1.x86_64.rpm && sudo WAZUH_MANAGER='10.0.8.2' WAZUH_AGENT_NAME='app' rpm -ihv wazuh-agent-4.7.5-1.x86_64.rpm % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 9253k 100 9253k 0 0 1667k 0 0:00:05 0:00:05 --:--:-- 2275k warning: wazuh-agent-4.7.5-1.x86_64.rpm: Header V3 RSA/SHA256 Signature, key ID 29111145: NOKEY Verifying... ################################# [100%] Preparing... ################################# [100%] Updating / installing... 1:wazuh-agent-4.7.5-1 ################################# [100%] |
步骤 3:配置服务自启与启动
- 重新加载 systemd 配置(识别新安装的服务):
|
[root@localhost ~]# systemctl daemon-reload |
- 设置开机自启(避免服务器重启后服务中断):
|
[root@localhost ~]# systemctl enable wazuh-agent |
- 启动服务并验证状态:
|
# 启动服务 [root@localhost ~]# systemctl start wazuh-agent # 查看状态(需显示active (running)) [root@localhost ~]# systemctl status wazuh-agent |
可以看到有两个agent上线了
其他服务器同理就不做赘述了
有“AI”的1024 = 2048,欢迎大家加入2048 AI社区
更多推荐
4
0- 0
已为社区贡献1条内容
所有评论(0)