개요
Wazuh를 설치하여 사용하는 방법으로는 크게 세가지로 나뉘어진다.
- Ready-to-use machines
Wazuh에서 준비된 가상머신 혹은 이미지를 통하여 설치하는 방법 - Containers
Docker 혹은 Kubernetes를 통하여 설치하는 방법 - Offline & Source
패키지 혹은 소스코드 컴파일을 통하여 설치하는 방법
위 세가지 방법 중에서 Docker를 통하여 설치를 해보고자 한다. 이 외의 두가지 방법으로 진행하지 않는 이유는 바로 Docker의 편리성 때문이다.
본 글에서는 배포와 장애에 대하여 가장 원활하게 대응이 가능하기 때문 Docker를 통하여 설치하는 방법을 안내한다.
Wazuh 설치 안내 문서(1,3번 설치에 대한 정보 포함)
https://documentation.wazuh.com/current/deployment-options/index.html
설치 - single node
Single node vs Multi node
- Single-node 배포 : 1개의 Wazuh 서버, 인덱서, 대시보드 노드 배포
- Multi-node 배포 : 2개의 Wazuh 서버(master, worker), 3개 인덱서 노드, 대시보드 노드 배포
Docker 설치
- Container를 통해서 Wazuh를 사용하기 위해서는 Docker를 설치해야 한다.
- 본 글에서는 Docker & Docker-compose가 설치되어있다는 가정하에 작성
max_map_count 설정
- Docker host로 사용할 Linux의 max_map_count 설정
sysctl -w vm.max_map_count=262144
vi /etc/sysctl.conf
vm.max_map_count 값 설정Wazuh 설치 및 실행
- Wazuh repository clone
git clone https://github.com/wazuh/wazuh-docker.git -b v4.3.10
cd wazuh-docker/single-node- SSL 인증서 생성
docker-compose -f generate-indexer-certs.yml run --rm generator
- 해당 명령어 입력하면 config/wazuh_indexer_ssl_certs 디렉토리에 각 노드에 사용할 인증서 가 생성된다. 이는 docker-compose의 각 서비스별로 mount되어 사용된다.
- Background Wazuh 실행
docker-compose up -d- Wazuh 접속
https://HostServerIP
초기패스워드 ID:admin / PW:SecretPassword
출처
Successhan