Dikutip dari situs wazuh.org, ‘The Wazuh Security Information and Event Management (SIEM) solution provides monitoring, detection, and alerting of security events and incidents’. Jadi Wazuh menyediakan 3 fungsi : monitoring, deteksi, dan alert untuk security events dan incidents. Wazuh terbaru (versi 4.3) secara default menggunakan 3 komponen : wazuh-indexer, wazuh-server, dan wazuh-dashboard. Berikut adalah cara melakukan instalasi Wazuh pada Ubuntu 20.04.
Instalasi wazuh-indexer, wazuh-server, dan wazuh-dashboard
- Pastikan Ubuntu sudah up-to-date
$ sudo apt-get update && sudo apt-get upgrade -y
- Log in sebagai root, karena script instalasi harus dijalankan oleh akun root. Pindah ke home directory (atau
/tmp
) dan download Wazuh Installation script and file konfigurasi awal.
$ sudo su
# cd ~
# curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh
# curl -sO https://packages.wazuh.com/4.3/config.yml
- Edit
config.yml
, masukkan IP Address yang sesuai untuk setiap wazuh-indexer, wazuh-server, dan wazuh-manager, untuk instalasi pada satu server, bisa ditulis IP Address yang sama.
nodes:
# Wazuh indexer nodes
indexer:
- name: node-1
ip: <indexer-node-ip>
#- name: node-2
# ip: <indexer-node-ip>
#- name: node-3
# ip: <indexer-node-ip>
# Wazuh server nodes
# If there is more than one Wazuh server
# node, each one must have a node_type
server:
- name: wazuh-1
ip: <wazuh-manager-ip>
# node_type: master
#- name: wazuh-2
# ip: <wazuh-manager-ip>
# node_type: worker
#- name: wazuh-3
# ip: <wazuh-manager-ip>
# node_type: worker
# Wazuh dashboard nodes
dashboard:
- name: dashboard
ip: <dashboard-node-ip>
- Jalankan script dengan option
--generate-config-files
untuk meng-generate Wazuh cluster key, certificates, dan password yang dibutuhkan untuk instlasi. Setelah script dijalankan, file instalasi disimpan pada file tar bernama./wazuh-install-files.tar
# bash wazuh-install.sh --generate-config-files
Jika anda mengkonfigurasi wazuh-indexer, wazuh-server, wazuh-manager pada mesin yang berbeda (beda VM atau beda container), copy file
./wazuh-install-files.tar
kepada mesin lain dengan menggunakan perintahscp
Untuk melihat password admin, jalankan perintah
# tar -axf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt -O | grep -P "\'admin\'" -A 1
- Install wazuh indexer dengan cara menjalankan script instalasi dengan option
--wazuh-indexer <nodes-name>
. Ganti<nodes-name>
dengan nama yang ditulis dalamconfig.yml
, dalam hal ini saya menggunakan namanodes-1
# bash wazuh-install.sh --wazuh-indexer node-1
Jika anda mengkonfigurasi wazuh-indexer, wazuh-server, wazuh-manager pada mesin yang berbeda (beda VM atau beda container), jalankan perintah tersebut di setiap mesin/VM/container.
- Inisiasi cluster dengan cara menjalankan script instalasi dengan option
--start-cluster
# bash wazuh-install.sh --start-cluster
Perintah ini hanya dijalankan sekali saja, jadi tidak perlu dijalankan pada setiap nodes (untuk lebih dari satu server).
- Jalankan perintah di bawah ini untuk menguji keberhasilan instalasi. Ganti
<ADMIN_PASSWORD>
dengan output dariwazuh-install-files.tar
. Dan ganti<WAZUH_INDEXER_IP>
dengan IP Address yang ditulis padaconfig.yml
.
# curl -k -u admin:<ADMIN_PASSWORD> https://<WAZUH_INDEXER_IP>:9200
Jika instalasi sudah benar, output yang didapat adalah seperti di bawah ini
{
"name" : "node-1",
"cluster_name" : "wazuh-indexer-cluster",
"cluster_uuid" : "L63v7KixTEmAL55zWyRobQ",
"version" : {
"number" : "7.10.2",
"build_type" : "rpm",
"build_hash" : "e505b10357c03ae8d26d675172402f2f2144ef0f",
"build_date" : "2022–01–14T03:38:06.881862Z",
"build_snapshot" : false,
"lucene_version" : "8.10.1",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "The OpenSearch Project: https://opensearch.org/"
}
- Install wazuh-server, jalankan perintah ini, dengan options berikut dan nama
wazuh-server
yang ditulis padaconfig.yml
# bash wazuh-install.sh --wazuh-server wazuh-1
- Install wazuh dashboard dengan menjalankan perintah dan options berikut
# bash wazuh-install.sh --wazuh-dashboard dashboard
Instalasi berhasil jika di akhir ada pesan seperti ini:
INFO: - - Summary - -
INFO: You can access the web interface https://<wazuh-dashboard-ip>
User: admin
Password: <ADMIN_PASSWORD>
INFO: Installation finished.
- Lihat password yang dibangkitkan selama prosesinstalasi dengan perintah
# tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
Jika anda bekerja di directory
/tmp
, segera copy file instalasi ke tempat yang bisa dijangkau, directory/tmp
akan dibersihkan setiap 10 hari
- Akses wazuh melalui web browser. Berikut adalah tampilan halaman login dan homescreen Wazuh.
Install wazuh agent
Seperti wazuh server, script ini harus dijalankan oleh user yang memiliki root privilege. Agent ini akan di-instal di Webserver DVWA berbasis Ubuntu 20.04
$ sudo su
- Install GPG key
# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
- Add repository
# echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
- Update package list
# apt-get update
- Install dengan menggunakan command
# WAZUH_MANAGER="10.1.2.25" apt-get install wazuh-agent
10.1.2.25
adalah IP Address wazuh manager
- Enable service wazuh agent
# systemctl daemon-reload
# systemctl enable wazuh-agent
# systemctl start wazuh-agent
Jika terjadi error saat menjalankan wazuh-agent, periksa isi
/var/ossec/etc/ossec.conf
bagian ini
<server>
<address>10.1.2.25</address>
<port>1514</port>
<protocol>tcp</protocol>
</server>
Pastikan isi address sudah benar.
- Jika semua proses sudah dijalankan agent akan muncul pada laman Wazuh, dan kita bisa memantau security events pada agent. Berikut adalah tampilannya. Berturut-turut : agent list, agent dashboard, agent security events.
Source : https://documentation.wazuh.com/current/installation-guide
nice tutorial, very helpfull
Thanks, glad to hear that.