Wazuh Indexer 4.3
Dopo aver creato i certificati necessari alle comunicazioni sicure, procediamo con l’installazione di Wazuh Indexer 4.3. Wazuh Indexer 4.3 è il componente della piattaforma che effettua lo storing e l’indexing dei dati provenienti da Wazuh Server.
Filebeat OSS (la versione di Filebeat rilasciata da Elastic sotto licenza Apache 2.0) permette l’inject dei dati, inviati dai vari client a Wazuh Server, verso l’ Indexer.
Wazuh Indexer è pensato per essere configurato sia come cluster a nodo singolo, che multinodo. I dati vengono archiviati come documenti JSON, in cui un insieme di chiavi, nomi di campo e proprietà vengono correlati con i valori corrispondenti. Tali dati possono essere stringhe, numeri, valori booleani, date, matrici di valori, geolocalizzazione o altri tipi di dati.
Un indice è una raccolta di documenti correlati tra loro; tali documenti vengono distribuiti su più shard e gli shard vengono distribuiti su più nodi. In questo modo, Wazuh Indexer può garantire la ridondanza, la fault-tolerance e la scalabilità del sistema.
Prima di procedere con l’installazione dell’Indexer, installiamo i prerequisiti, il repo di Wazuh ed importiamo la gpgkey del repo:
# dnf -y install java-11-openjdk coreutils initscripts chkconfig
# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
# echo -e '[wazuh]\ngpgcheck=1\ngpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH\nenabled=1\nname=EL-$releasever - Wazuh\nbaseurl=https://packages.wazuh.com/4.x/yum/\nprotect=1' | tee /etc/yum.repos.d/wazuh.repo
L’installazione base dell’Indexer si riduce all’installazione di un singolo package:
# dnf -y install wazuh-indexer
# cd /etc/wazuh-indexer
Configuriamo Wazuh indexer, editando il file /etc/wazuh-indexer/opensearch.yml:
network.host --> 192.168.100.100
questo è l'indirizzo IP del nodo; sarà quello utilizzato dal servizio. Possiamo utilizzare cone network host il valore 0.0.0.0 per effettuare il listen del servizio su tutti gli indirizzi IP del nostro server.
node.name --> wazuh
nome del nodo su cui è installato wazuh indexer;
cluster.initial_master_nodes --> wazuh
lista dei nodi definiti come master-eligible
discovery.seed_hosts --> 192.168.100.100
lista degli indirizzi IP dei nodi definiti come master-eligible
plugins.security.nodes.dn --> "CN=wazuh,OU=IT Dep.,O=Anthesia Ltd,L=Italy,C=IT"
lista dei DN dei certificati di tutti i Wazuh indexer dell'organizzazione
plugins.security.authcz.admin_dn --> "CN=admin,OU=Anthesia Ltd.,O=Anthesia Ltd.,L=Italy,C=IT"
lista dei DN dei certificati dei manager dei nodi
Installiamo i certificati precedentemente creati:
# cd /etc/wazuh-indexer
# mkdir certs
# cp /usr/src/wazuh_install/wazuh-certificates/* certs/
# mv certs/wazuh.pem certs/indexer.pem
# mv certs/wazuh-key.pem certs/indexer-key.pem
# chmod 500 certs
# chmod 400 certs/*
# chown -R wazuh-indexer:wazuh-indexer certs
Abilitiamo ed avviamo il servizio:
# systemctl daemon-reload
# systemctl enable wazuh-indexer
# systemctl start wazuh-indexer
Inizializziamo il plugin relativo alla security:
# /usr/share/wazuh-indexer/bin/indexer-security-init.sh
Security Admin v7
Will connect to 192.168.100.100:9300 ... done
Connected as CN=admin,OU=IT Dep.,O=Anthesia Ltd.,L=Italy,C=IT
OpenSearch Version: 1.2.4
OpenSearch Security Version: 1.2.4.0
Contacting opensearch cluster 'opensearch' and wait for YELLOW clusterstate ...
Clustername: wazuh-cluster
Clusterstate: GREEN
Number of nodes: 1
Number of data nodes: 1
.opendistro_security index does not exists, attempt to create it ... done (0-all replicas)
Populate config from /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/
Will update '_doc/config' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/config.yml
SUCC: Configuration for 'config' created or updated
Will update '_doc/roles' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/roles.yml
SUCC: Configuration for 'roles' created or updated
Will update '_doc/rolesmapping' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/roles_mapping.yml
SUCC: Configuration for 'rolesmapping' created or updated
Will update '_doc/internalusers' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/internal_users.yml
SUCC: Configuration for 'internalusers' created or updated
Will update '_doc/actiongroups' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/action_groups.yml
SUCC: Configuration for 'actiongroups' created or updated
Will update '_doc/tenants' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/tenants.yml
SUCC: Configuration for 'tenants' created or updated
Will update '_doc/nodesdn' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/nodes_dn.yml
SUCC: Configuration for 'nodesdn' created or updated
Will update '_doc/whitelist' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/whitelist.yml
SUCC: Configuration for 'whitelist' created or updated
Will update '_doc/audit' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/audit.yml
SUCC: Configuration for 'audit' created or updated
Done with success
Infine, testiamo se il nostro indexer risponde correttamente ad una richiesta:
# curl -k -u admin:admin https://192.168.100.100:9200
{
"name" : "wazuh",
"cluster_name" : "wazuh-cluster",
"cluster_uuid" : "XXXXXXXXXXXXXXXXXXXX",
"version" : {
"number" : "7.10.2",
"build_type" : "rpm",
"build_hash" : "XXXXXXXXXXXXXXXXXXXXXXXXXXX",
"build_date" : "2022-01-14T03:38:06.881862Z",
"build_snapshot" : false,
"lucene_version" : "8.10.1",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "The OpenSearch Project: https://opensearch.org/"
}
Il nostro Wazuh Indexer, il motore di ricerca alla base di tutta la piattaforma, è installato, configurato e in stato di running.
Procediamo dunque con l’installazione di Wazuh Server 4.3 e di Filebeat-OSS.
2 Comments
Wazuh 4.3 - Installazione - Anthesia.NET · 09/06/2022 at 12:29
[…] Wazuh 4.3 Indexer e Filebeat OSS → […]
Wazuh Server 4.3 e Filebeat-OSS - Anthesia.NET · 23/06/2022 at 12:15
[…] effettuare l’installazione del server, utilizzeremo dnf con il repo di Wazuh installato e configurato precedentemente; successivamente abiliteremo ed avvieremo il […]
Comments are closed.