Skip to main content

4. Wazuh serveur

Installation et configuration du serveur Wazuh en mode mono-nœud ou cluster multi-nœuds

Suivez ces instructions étape par étape pour installer et configurer le serveur Wazuh en tant que nœud unique ou en cluster multi-nœuds. Le serveur Wazuh est un composant central qui comprend le gestionnaire Wazuh et Filebeat.

  • Le gestionnaire Wazuh collecte et analyse les données des agents Wazuh déployés. Il déclenche des alertes en cas de détection de menaces ou d’anomalies.
  • Filebeat transfère en toute sécurité les alertes et les événements archivés vers l’indexeur Wazuh.

Processus d’installation

L’installation est divisée en deux étapes principales :

  1. Installation du nœud du serveur Wazuh
  2. Configuration du cluster pour un déploiement multi-nœuds

Remarque
Vous devez avoir les privilèges root pour exécuter toutes les commandes décrites ci-dessous.`

1. Installation du nœud du serveur Wazuh

Ajout du dépôt Wazuh

Remarque
Si vous installez le serveur Wazuh sur le même hôte que l’indexeur Wazuh, vous pouvez ignorer cette étape, car le dépôt Wazuh pourrait déjà être ajouté.

1. Téléchargeons nos paquets : 

apt-get install gnupg apt-transport-https curl
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
apt-get update

2. Nous pouvons ensuite installer wazuh-manager et filebeat:

apt-get -y install wazuh-manager
apt-get -y install filebeat
Qu'est-ce que Filebeat ?

Filebeat est un expéditeur léger de logs (log shipper) développé par Elastic. Il est utilisé pour collecter, traiter et transférer des journaux depuis différentes sources vers une destination, comme Elasticsearch, Logstash, ou d'autres systèmes de stockage et d'analyse.

Dans le cas de Wazuh, Filebeat joue un rôle essentiel :

  • Il récupère les alertes et les événements archivés du gestionnaire Wazuh.
  • Il les transmet en toute sécurité à l'indexeur Wazuh (basé sur OpenSearch ou Elasticsearch).
  • Il garantit une transmission fiable des logs, même en cas de panne temporaire.

Configuration de Filebeat pour Wazuh :

  1. Installons désormais la pré configuration de filebeat :
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.10/tpl/wazuh/filebeat/filebeat.yml
1. Modifier le fichier de configuration Filebeat

Éditez le fichier de configuration /etc/filebeat/filebeat.yml et remplacez la valeur des hôtes (hosts) comme suit :

  • Définir les nœuds de l’indexeur Wazuh
    Vous pouvez utiliser soit des adresses IP, soit des noms d’hôte.
    Par défaut, l’hôte est localhost (127.0.0.1:9200). Remplacez cette valeur par l'adresse de votre indexeur Wazuh.

  • Si vous avez plusieurs nœuds d’indexation, séparez les adresses par des virgules :

# Wazuh - Configuration de Filebeat
output.elasticsearch:
  hosts: ["10.0.0.1:9200", "10.0.0.2:9200", "10.0.0.3:9200"]
  protocol: https
  username: ${username}
  password: ${password}
2. Sécuriser les identifiants avec un keystore Filebeat

Créez un keystore Filebeat pour stocker les identifiants d’authentification de manière sécurisée :

filebeat keystore create

Ajoutez le nom d’utilisateur et le mot de passe par défaut (admin:admin) au keystore sécurisé :

echo admin | filebeat keystore add username --stdin --force
echo admin | filebeat keystore add password --stdin --force
3. Télécharger le modèle d’alertes pour l’indexeur Wazuh

Exécutez la commande suivante pour télécharger le fichier wazuh-template.json, qui est utilisé pour structurer les alertes dans l’indexeur Wazuh :

curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.10.1/extensions/elasticsearch/7.x/wazuh-template.json

Donnez les autorisations de lecture pour que Filebeat puisse l’utiliser :

chmod go+r /etc/filebeat/wazuh-template.json

4. Installer le module Wazuh pour Filebeat

Le module Wazuh permet à Filebeat de récupérer correctement les alertes du gestionnaire Wazuh.

Installez-le avec la commande suivante :

curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.4.tar.gz | tar -xvz -C /usr/share/filebeat/module
5. Redémarrer Filebeat

Une fois la configuration terminée, redémarrez Filebeat pour appliquer les modifications :

systemctl restart filebeat
systemctl status filebeat

✅ Filebeat est maintenant configuré pour envoyer les alertes Wazuh à votre indexeur Wazuh ! 🎉

Back to top