티스토리 뷰
🟥 작성 동기
회사에서 오픈소스 플랫폼인 Wazuh를 활용해 SIEM을 구축하였는데,
직접 설치는 하지 않아서 해당 버전에 어떤 설치 과정과 설정이 필요한지 머리로 그려지지 않았다.
프로젝트는 운영 정책까지 거의 기본적인 틀은 완성된 단계이기에
손맛에 맞는(?) 여러 OS를 적재적소에 테스트에 활용하기엔 한계가 있었고,
집에서 궁금할 때 테스트해 볼 별도의 환경을 만들기 위해 글을 작성해둔다.
(물론 회사 내 자원을 물론 활용할 수도 있겠지만.. 무비용 저효율로 한번 머리 박치기 해보고 싶었다.
는 새벽 1시에 퀭한 눈을...ㅋ..)
🟥 환경
VMware Workstation 15 Pro - NAT(VMnet8)
로드밸런싱 실습을 위해 master/worker 서버를 분리해 구성하였음.
VM에 이미지를 설치 및 설정하는 과정은 생략, 아래 내용 참고하여 VMnet8과 고정 ip 설정
[VMware] 게스트 OS 고정아이피 설정
VMware 에서 게스트 OS 고정아이피 설정하기 VMware 우분투 고정아이피 설정하기 VMware 환경 Host PC : Windows 10 VMware : VMware-player-full-16.2.3 Guest OS : Ubuntu 18.4 최신 VMware Player 에서 네트워크 설정을 하기 위
makepluscode.tistory.com
[ VMware -Ubuntu ] putty 연결을 위한 ssh 설정
VMware에 Ubuntu 설치 후 putty로 해당 Ubuntu로 접속하기 위해서는 ssh 접속 설정이 필요하다. 다음은 ssh 접속 설정하는 방법이다. ssh 설치 - sudo apt-get install ssh openssh-server 설치 - sudo apt-get install openssh-se
zmunz.tistory.com
🟥 구성 및 버전
버전 기준은 1월 10일 Wazuh 4.6이다. Current 버전은 4.7이다.
wazuh Master Node 1EA / 192.168.15.129 (VM, Ubuntu 22.04.3 LTS)
wazuh Worker Node 2EA / 192.168.15.130, 131 (VM, Ubuntu 22.04.3 LTS - 추후 LB 목적)
wazuh Agent nEA / (VM, Rocky Linux 8.8 / Windows Server / .. etc)
Components는 indexer와 dashboard로 구성.
🟥 Manager(Master/Worker) 서버 공통 사전작업
※ 모든 작업은 root 권한으로 수행
if (master, worker 서버를 분리하여 운영하는 경우) { master, worker 모두 아래 과정대로 동일 수행 }
else { wazuh 서버를 한 대만 두는 경우 이후 포스팅에서 master 서버에 대해 한 번만 수행 }
1. apt-get 저장소 update
soya@wazuh-master-node:~# apt-get update
soya@wazuh-master-node:~# apt-get upgrade -y
2. 필요 유틸리티 설치
soya@wazuh-master-node:~# apt-get install lsb-release curl apt-transport-https zip unzip gnupg2- lsb-release: Linux Standard Base Release의 약자로, 현재 시스템의 Linux 배포판 정보를 제공
- curl: 명령 줄에서 URL을 통해 데이터를 전송하고 받을 수 있는 도구, 주로 네트워크 작업을 수행할 때 사용
- apt-transport-https: Apt를 통해 HTTPS 프로토콜을 사용하여 외부 저장소에서 패키지를 다운로드할 수 있게 함
- zip 및 unzip: 파일을 압축하고 압축을 해제하는데 사용. zip은 압축, unzip은 압축을 해제
- gnupg2: 데이터 및 통신 보안을 위한 암호화 및 디지털 서명을 제공하는 프로그램
3. Wazuh 공개키 및 저장소 설정
😼 Wazuh 서버와 indexer가 같은 단일 호스트에 설치되어 있다면 이 과정은 필요하지 않다.
대신 다중 노드 구조라면 노드별로 모두 수행해야 Wazuh 패키지 설치가 정상적으로 수행된다.
Wazuh의 공개키 및 저장소를 설정하고, Wazuh 저장소를 apt가 인식할 수 있게 함.
soya@wazuh-master-node:~# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
soya@wazuh-master-node:~# echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
soya@wazuh-master-node:~# apt-get update
아래를 참고하여 step by step으로 진행하면 쉬우니 Centos의 경우도 문제 없다.
Installing the Wazuh server step by step - Wazuh server
User manual, installation and configuration guides. Learn how to get the most out of the Wazuh platform.
documentation.wazuh.com
VMware에 명령어(터미널에) 복사가 안되어서 불편하다면 putty로 붙어서 하면 편하다.
4. manager 패키지 설치
Wazuh 서버 패키지를 설치하고, 서비스를 이용할 수 있도록 시스템 명령을 수행
soya@wazuh-master-node:~# apt-get -y install wazuh-manager=4.6.0-1
5. manager 서비스 구동
soya@wazuh-master-node:~# systemctl daemon-reload
soya@wazuh-master-node:~# systemctl enable wazuh-manager
soya@wazuh-master-node:~# systemctl start wazuh-manager
soya@wazuh-master-node:~# systemctl status wazuh-manager
🟥 Manager(Master/Worker) 서버 추가 작업
추가로 본 포스팅과 같이,
Master/Worker 서버를 분리하여 운영하는 경우 아래와 같은 설정이 필요하다.
Wazuh Cluster 구축 - 6. 다중 노드 환경에서 Master/Worker 클러스터 연동
'Wazuh > 설치 및 기본 구조' 카테고리의 다른 글
| Wazuh Cluster 구축 - 6. 다중 노드 환경에서 Master/Worker 클러스터 연동 (0) | 2024.01.13 |
|---|---|
| Wazuh Cluster 구축 - 5. Wazuh dashboard 설치 및 설정 (1) | 2024.01.13 |
| Wazuh Cluster 구축 - 4. Wazuh 서버에 Filebeat 설치 및 설정 (0) | 2024.01.13 |
| Wazuh Cluster 구축 - 3. Wazuh indexer 설치 및 설정 (1) | 2024.01.12 |
| Wazuh Cluster 구축 - 2. Wazuh SSL 인증서 생성 (0) | 2024.01.11 |
- Thanks for comming.
- 오늘은
- 명이 방문했어요
- 어제는
- 명이 방문했어요