Kibana 在Windows Server中安装Wazuh服务器

Kibana 在Windows Server中安装Wazuh服务器,kibana,wazuh,Kibana,Wazuh,我们有一台服务器[Windows server 2016],我想通过安装Wazuh工具来监控该服务器 我看到了文档,但仍然感到困惑。如果我需要安装 Wazuh Server Wazuh Agent Kibana 在服务器中。?我没有看到任何关于在Windows机器上安装Wazuh服务器的文章 在跟踪wazuh文档之后,我可以达到一定的限制 已在Windows Server中安装虚拟机 下载Wazuh OVA文件并将其导入虚拟盒 现在,我可以使用默认凭据连接到Wazuh服务器 现在我站在一个地方

我们有一台服务器[Windows server 2016],我想通过安装Wazuh工具来监控该服务器

我看到了文档,但仍然感到困惑。如果我需要安装

Wazuh Server
Wazuh Agent
Kibana
在服务器中。?我没有看到任何关于在Windows机器上安装Wazuh服务器的文章

在跟踪wazuh文档之后,我可以达到一定的限制

  • 已在Windows Server中安装虚拟机
  • 下载Wazuh OVA文件并将其导入虚拟盒
  • 现在,我可以使用默认凭据连接到Wazuh服务器
  • 现在我站在一个地方。我需要得到IP。我尝试使用“Ip地址”命令。但它仍然显示出127.0.0.1/8

    据我所知,它正在创建一些动态IP。有没有办法设置静态IP。因此,我可以访问Wazuh Web控制台 通过这个IP

    我的一些发现:

    VM的eth0网络接口似乎没有分配IPv4地址

    在文档中的视频中,当运行“ip addr”时,它显示了动态IPv4地址以及IPv6地址,因此我怀疑这就是您无法访问web控制台的原因。这可能是由您为虚拟机中的VM创建的网络接口类型引起的

    --------编辑----------

    根据你的指导,我做了以下事情

    Wazuh服务器:

  • 虚拟盒->适配器1->桥接适配器
  • 虚拟盒->适配器2->仅主机适配器
  • 启动虚拟框并选中“Ip addr”命令。获得了以下IP,eth0[192.168..]和eth1[10.0..]
  • 在浏览器中,我尝试了https://192.168.. 我可以登录到kibana
  • Wazuh代理:

    在我要监视的服务器上,我安装了Wazuh代理。在Wazuh配置文件中,我需要指定

    在这里我有点困惑。我需要给出实际的服务器IP[wazuh服务器所在的位置],还是需要在“IP Addr”命令中指定要获取的IP

    我已经尝试了所有的IP。当我查看日志时,它显示为

    在connect_server()上启动_agent.c:100:错误:(1216):无法连接到'xx.xx.xx.xxx':'Bad file descriptor'。

    为了更好地理解Wazuh的工作原理,我建议您阅读。它的体系结构基于代理,这意味着您需要在要监视的端点(例如,您的Windows服务器)上安装Wazuh代理,然后将这些代理连接到Wazuh管理器服务器(需要安装在Linux机器上,因此您需要另一台服务器)

    Kibana/Splunk是可选且有用的工具,用于索引管理器生成的数据,以实现更好的可视化。我建议使用Kibana和Elasticsearch堆栈

    对于LinuxWazuhManager服务器,我建议尝试,或者,如果连接的代理很少,并且不想从头开始部署任何实例,可以尝试

    我希望这对你有帮助。使用Wazuh的最佳起点是指南。我建议你先读一读

    ------------------------编辑--------------------

    你好,

    如果我不够清楚,我很抱歉。Wazuh有两个主要组件:管理器(文档中的服务器)和代理

    管理器也称为服务器,因为它为Wazuh服务本身提供服务。这意味着Wazuh分析安全事件并生成警报的部分

    但是Wazuh代理(尽管名称不同)也安装在您想要监视的服务器上,它用于将安全事件发送到Wazuh管理器(服务器),以便对其进行分析

    也就是说,如果要正确监视Windows服务器,需要在其上安装Wazuh Windows代理,因为它旨在监视Windows服务器。您需要将此代理连接到Wazuh服务器。在这里,您有不同的选择:

    • 您可以在另一台(Linux)服务器上安装Wazuh Manager
    • 您可以在Windows服务器上安装docker和docker compose,并使用wazuh docker GitHub存储库部署wazuh管理器堆栈(使用wazuh、Elasticsearch和Kibana)将您、代理连接到
    • 您可以在Virtualbox或类似软件上安装Wazuh OVA(VM设备)(此虚拟机默认情况下也安装了Wazuh Manager、Elasticsearch和Kibana)
    我看到您正在尝试第四个,在Virtualbox上部署Wazuh OVA。不过,请记住,您还必须安装Windows代理,并将其连接到Wazuh Manager

    关于知识产权问题。我的建议是为机器输入VirtualBox配置,并设置两个网络接口(或适配器)。一个仅用于主机的适配器(将具有静态IP,您可以使用该IP从本地浏览器连接),另一个具有桥接适配器(用于连接到internet)。然后,我建议使用nmtui(network manager的控制台用户界面)设置静态IP,如所附捕获中所示。这应该足够了

    我建议您阅读,以便更好地了解Wazuh的工作原理。它的体系结构基于代理,这意味着您需要在要监视的端点(例如,您的Windows服务器)上安装Wazuh代理,然后将这些代理连接到Wazuh管理器服务器(需要安装在Linux机器上,因此您需要另一台服务器)

    Kibana/Splunk是可选且有用的工具,用于索引管理器生成的数据,以实现更好的可视化。我建议使用Kibana和Elasticsearch堆栈

    对于LinuxWazuhManager服务器,我建议尝试,或者,如果连接的代理很少,并且不想从头开始部署任何实例,可以尝试

    我希望这对你有帮助。使用Wazuh的最佳起点是指南。我建议你先读一读

    ---------