Sigue estas instrucciones detalladas para instalar y configurar el servidor Wazuh como un nodo único o como parte de un clúster multinodo. El servidor Wazuh es un componente central que incluye el Wazuh Manager y Filebeat. El Wazuh Manager recopila y analiza datos de los agentes Wazuh desplegados, generando alertas cuando detecta amenazas o anomalías. Filebeat, por su parte, envía de forma segura estas alertas y eventos archivados al Wazuh Indexer.
El proceso de instalación se divide en dos etapas:
- Instalación del nodo del servidor Wazuh.
- Configuración del clúster para despliegues multinodo.
Nota: Necesitas privilegios de superusuario (root
) para ejecutar todos los comandos descritos.
1. Instalación del nodo del servidor Wazuh
Agregar el repositorio de Wazuh
Nota: Si estás instalando el servidor Wazuh en el mismo host que el Wazuh Indexer, puedes omitir estos pasos, ya que probablemente ya hayas agregado el repositorio de Wazuh.
1. Instalar paquetes necesarios
Si faltan, instala los siguientes paquetes:
apt-get install gnupg apt-transport-https
2. Instalar la clave GPG
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
3. Agregar el repositorio
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
4. Actualizar la información de los paquetes
apt-get update
Instalación del Wazuh Manager
Instala el paquete del Wazuh Manager:
apt-get -y install wazuh-manager
Instalación de Filebeat
Instala el paquete de Filebeat:
apt-get -y install filebeat
Configuración de Filebeat
1. Descargar el archivo de configuración preconfigurado de Filebeat
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.9/tpl/wazuh/filebeat/filebeat.yml
2. Editar el archivo de configuración /etc/filebeat/filebeat.yml
- Reemplaza la lista de hosts con la dirección de tu Wazuh Indexer.
Por ejemplo:
output.elasticsearch:
hosts: ["10.0.0.1:9200"]
protocol: https
username: ${username}
password: ${password}
Si tienes más de un nodo Indexer, separa las direcciones con comas:
hosts: ["10.0.0.1:9200", "10.0.0.2:9200", "10.0.0.3:9200"]
3. Crear el almacén de credenciales para Filebeat
filebeat keystore create
4. Agregar credenciales al almacén
echo admin | filebeat keystore add username --stdin --force
echo admin | filebeat keystore add password --stdin --force
5. Descargar la plantilla de alertas para el Indexer
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.9.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
6. Instalar el módulo de Wazuh para Filebeat
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.4.tar.gz | tar -xvz -C /usr/share/filebeat/module
Despliegue de certificados
Nota: Asegúrate de tener una copia del archivo wazuh-certificates.tar
generado en la configuración inicial.
- Reemplaza
<SERVER_NODE_NAME>
con el nombre del certificado de tu nodo del servidor Wazuh:
NODE_NAME=<SERVER_NODE_NAME>
mkdir /etc/filebeat/certs
tar -xf ./wazuh-certificates.tar -C /etc/filebeat/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem
mv -n /etc/filebeat/certs/$NODE_NAME.pem /etc/filebeat/certs/filebeat.pem
mv -n /etc/filebeat/certs/$NODE_NAME-key.pem /etc/filebeat/certs/filebeat-key.pem
chmod 500 /etc/filebeat/certs
chmod 400 /etc/filebeat/certs/*
chown -R root:root /etc/filebeat/certs
Configuración de la conexión al Wazuh Indexer
Guardar credenciales en el Wazuh Manager
echo '<INDEXER_USERNAME>' | /var/ossec/bin/wazuh-keystore -f indexer -k username
echo '<INDEXER_PASSWORD>' | /var/ossec/bin/wazuh-keystore -f indexer -k password
Editar el archivo de configuración del Wazuh Manager
- Ubicación del archivo:
/var/ossec/etc/ossec.conf
. - Configura los hosts del indexador:
<indexer>
<enabled>yes</enabled>
<hosts>
<host>https://10.0.0.1:9200</host>
</hosts>
<ssl>
<certificate_authorities>
<ca>/etc/filebeat/certs/root-ca.pem</ca>
</certificate_authorities>
<certificate>/etc/filebeat/certs/filebeat.pem</certificate>
<key>/etc/filebeat/certs/filebeat-key.pem</key>
</ssl>
</indexer>
Iniciar el Wazuh Manager
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager
systemctl status wazuh-manager
Iniciar el servicio de Filebeat
systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat
filebeat test output
Tu nodo del servidor Wazuh está ahora instalado correctamente. Si estás configurando un clúster multinodo, repite este proceso en cada nodo. Para un único nodo, puedes continuar con la instalación del dashboard Wazuh.