티스토리 뷰
🟪 개요
Wazuh Cluster 구축 - 1. Wazuh 서버 설치(apt 저장소, Wazuh 패키지)
🟥 작성 동기 회사에서 오픈소스 플랫폼인 Wazuh를 활용해 SIEM을 구축하였는데, 직접 설치는 하지 않아서 해당 버전에 어떤 설치 과정과 설정이 필요한지 머리로 그려지지 않았다. 프로젝트는 운
likethefirst.tistory.com
위 과정에서 여러 서버에 wazuh-manager 패키지를 설치한 경우
아래와 같이 Wazuh가 서버 노드별로 master인지 worker인지 인식할 수 있도록 추가 작업이 필요하다.
worker들의 master가 누구인지 지정하는 과정도 포함되어 있는데,
이는 master <-> worker간 자동 파일 배포가 이루어질 때 필요하기도 하다.
(누가 왕인지 모르면 일개미들은 누구의 파일을 내려받아 써야할지 모른다고나 하면 적절할까...? 허허)
🟪 Manager(Master/Worker) 서버 추가 작업
/var/ossec/etc/ossec.conf 파일을 수정해야 한다.
1. Master 노드 설정
파일을 편집기로 열고, ?cluster 입력 후 Enter하면 쉽게 찾을 수 있다.
<cluster>
<name>wazuh</name>
<node_name> 🟪 </node_name>
<node_type> 🟪 </node_type>
<key> 🟪 </key>
<port>1516</port>
<bind_addr>0.0.0.0</bind_addr>
<nodes>
<node> 🟪 </node>
</nodes>
<hidden>no</hidden>
<disabled> 🟪 </disabled>
</cluster>보라색 사각형이 있는 부분이 master 노드에서의 ossec.conf 변경 필요 부분이다.
🟪 <node_name> : master 노드의 노드명을 입력한다. (최초에 config.yml에서 지정했던 대로)
🟪 <node_type> : master
🟪 <key> : 명령어 openssl rand -hex 16를 실행해서 나온 값을 입력한다. (이 값은 worker에도 동일 적용해야 한다.)
🟪 <node> : master 노드의 IP를 입력
🟪 <disabled> : 기본으로 yes로 되어있는 경우가 많아 no로 변경해야 한다.
2. Worker 노드 설정
<cluster>
<name>wazuh</name>
<node_name> 🟨 </node_name>
<node_type> 🟨 </node_type>
<key> 🟨 </key>
<port>1516</port>
<bind_addr>0.0.0.0</bind_addr>
<nodes>
<node> 🟨 </node>
</nodes>
<hidden>no</hidden>
<disabled> 🟨 </disabled>
</cluster>노란색 사각형이 있는 부분이 worker 노드에서의 ossec.conf 변경 필요 부분이다.
🟨 <node_name> : worker 노드의 노드명을 입력한다. (최초에 config.yml에서 지정했던 대로)
🟨 <node_type> : worker
🟨 <key> : master 노드의 ossec.conf에 입력했던 값과 동일하게 입력한다.
🟨 <node> : master 노드의 IP를 입력 (worker가 아닌 master 노드의 IP이다.)
🟨 <disabled> : 기본으로 yes로 되어있는 경우가 많아 no로 변경해야 한다.
3. 설정사항 반영 확인
서버들에서 /var/ossec/bin/cluster_control -l 명령어를 수행하면
아래와 같이 노드들의 노드명, 타입, 버전, 주소를 확인할 수 있어 잘 설정된 것을 볼 수 있다.
추가로 Wazuh dashboard에서 Wazuh > Management > Status and reports 하위의 Cluster 메뉴에서도 확인 가능하다.
4. (추가) Dashboard 노드 설정
만약 이미 구축된 클러스터에 Worker를 추가 연동하였다면(wazuh-manager만 설치완료한 상황에서),
아래 게시글의 [ 6. wazuh.yml 파일 설정 ] 부분과 같이 워커에 대한 정보를 추가로 작성 후
대시보드를 재기동해주어야 대시보드 상에서도 API health check를 정상적으로 수행할 수 있다.
Wazuh Cluster 구축 - 5. Wazuh dashboard 설치 및 설정
🟦 dashboard 설치 및 설정 1. 필요 유틸리티 설치 soya@wazuh-dashboard-node:~# apt-get install debhelper tar curl libcap2-bin #debhelper version 9 or later debhelper: Debian 패키지 빌드 시 자주 사용되는 여러 유틸리티 및 스
likethefirst.tistory.com
'Wazuh > 설치 및 기본 구조' 카테고리의 다른 글
| Wazuh Cluster 구축 - 完. VMware 구축 후기 (2) | 2024.01.16 |
|---|---|
| Wazuh Cluster 구축 - 5. Wazuh dashboard 설치 및 설정 (1) | 2024.01.13 |
| Wazuh Cluster 구축 - 4. Wazuh 서버에 Filebeat 설치 및 설정 (0) | 2024.01.13 |
| Wazuh Cluster 구축 - 3. Wazuh indexer 설치 및 설정 (1) | 2024.01.12 |
| Wazuh Cluster 구축 - 2. Wazuh SSL 인증서 생성 (0) | 2024.01.11 |
- Thanks for comming.
- 오늘은
- 명이 방문했어요
- 어제는
- 명이 방문했어요