在Windows中安装Wazuh

Question

我们确实有一个服务器Windows 2016，我想通过安装Wazuh来监视该服务器。

我看到了文档，但还是很困惑。如果我需要安装，

Wazuh Server
Wazuh Agent
Kibana

在服务器上？我没有看到任何关于在Windows机器中安装Wazuh的文章。

在对wazuh文档进行跟踪之后，我可以达到一定的限制。

1. 在Windows中安装了虚拟盒。
2. 下载了Wazuh文件并将其导入虚拟盒。
3. 现在，我可以使用默认凭据连接到Wazuh。

现在我站在一个地方。我要拿到IP。我试过用“Ip addr”命令。但是，它仍然显示出127.0.0.1/8

据我所知，它正在创建一些动态IP。有方法来设置静态IP吗？因此，我可以通过那个IP访问Wazuh控制台。

我的一些发现：

VM的eth0网络接口似乎没有分配给它的IPv4地址。

在文档中的视频中，当运行'ip‘时，它显示了一个动态的IPv4地址以及IPv6地址，因此我怀疑这就是您不能访问web控制台的原因。这可能是由您为虚拟盒中的VM创建的网络接口类型造成的。

根据你的指导，我做了以下事情。

：

1. 虚拟盒->适配器1 ->桥接适配器
2. 虚拟盒->适配器2 ->主机专用适配器
3. 启动Virtual并检查'Ip addr‘命令。得到了以下IP，eth0 192.168..和eth1 10.0.
4. 在浏览器中，我尝试了https://192.168.。我就能登陆基巴纳了。

瓦苏探员：

我要监视的服务器，我安装了Wazuh。在Wazuh文件中，我需要指定

在这里我有点困惑。我应该给出实际的服务器IP，在wazuh服务器所在的位置，还是我需要指定我在'Ip Addr‘命令中得到的Ip。？

我试过所有的IP。当我查看日志时，显示的是，

start_agent.c:100 at connect_server()：connect_server：(1216)：无法连接到‘xx.xxx’：‘坏文件描述符’。

Answer 1

我建议您阅读建筑指南，以便更好地理解Wazuh的工作原理。它的体系结构基于代理，这意味着您需要在要监视的端点(例如，Windows服务器)上安装want，然后将这些代理连接到Wazuh服务器(需要安装在Linux机器上，因此需要另一台服务器)。

Kibana/Splunk是可选的、有用的工具，可以对管理器生成的数据进行索引，以便更好地实现可视化。我建议使用Kibana和Elasticsearch。

对于Linux服务器，我建议尝试一次部署，或者，如果很少连接代理，并且不希望从头部署任何实例，则可以尝试预制虚拟机设备(OVA)

希望这能帮到你。开始使用Wazuh的最佳点是快速入门指南。我建议你先读一下。

你好,

如果我不清楚的话我很抱歉。Wazuh有两个主要组件: Manager (文档中的服务器)和Agent。

管理器也被称为服务器，因为它服务于Wazuh服务本身。这意味着Wazuh中分析安全事件并生成警报的部分。

但是，want (尽管其名称)也安装在您希望监视的服务器上，它用于向Wazuh (服务器)发送安全事件，以便进行分析。

也就是说，如果要正确监视Windows服务器，就需要在其上安装Windows代理，因为它是为监视Windows服务器而设计的。你需要把这个代理连接到Wazuh服务器。在这里，您有不同的选择：

• 您可以在另一个(Linux)服务器上安装。
• 代理，您可以在您的Windows服务器上安装docker和docker-compose，并使用Wazuh存储库部署Wazuh堆栈(包括wazu.elasticearch和Kibana)来连接您。
• 您可以在Virtualbox或类似的软件上安装Wazuh (VM设备)(此虚拟机默认安装了Wazuh、Elasticsearch和Kibana )。

我看到您正在尝试使用第四台，在Virtualbox上部署Wazuh。不过，请记住，您还必须安装Windows代理，并将其连接到Wazuh。

关于知识产权问题。我在这里的建议是输入计算机的VirtualBox配置，并设置两个网络接口(或适配器)。一个只有主机的适配器(它将有一个静态IP，您可以用来从您的本地浏览器连接)和另一个与桥接适配器(连接到互联网)。然后，我建议使用nmtui (网络管理器的控制台用户界面)来设置静态IP，就像附加的捕获一样。那应该就够了。

​

​