Wazuh Indexer 4.3

Published by Lello on

Dopo aver creato i certificati necessari alle comunicazioni sicure, procediamo con l’installazione di Wazuh Indexer 4.3. Wazuh Indexer 4.3 è il componente della piattaforma che effettua lo storing e l’indexing dei dati provenienti da Wazuh Server.

Filebeat OSS (la versione di Filebeat rilasciata da Elastic sotto licenza Apache 2.0) permette l’inject dei dati, inviati dai vari client a Wazuh Server, verso l’ Indexer.

Wazuh Indexer è pensato per essere configurato sia come cluster a nodo singolo, che multinodo. I dati vengono archiviati come documenti JSON, in cui un insieme di chiavi, nomi di campo e proprietà vengono correlati con i valori corrispondenti. Tali dati possono essere stringhe, numeri, valori booleani, date, matrici di valori, geolocalizzazione o altri tipi di dati.

Un indice è una raccolta di documenti correlati tra loro; tali documenti vengono distribuiti su più shard e gli shard vengono distribuiti su più nodi. In questo modo, Wazuh Indexer può garantire la ridondanza, la fault-tolerance e la scalabilità del sistema.

Prima di procedere con l’installazione dell’Indexer, installiamo i prerequisiti, il repo di Wazuh ed importiamo la gpgkey del repo:

# dnf -y install java-11-openjdk coreutils initscripts chkconfig
# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
# echo -e '[wazuh]\ngpgcheck=1\ngpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH\nenabled=1\nname=EL-$releasever - Wazuh\nbaseurl=https://packages.wazuh.com/4.x/yum/\nprotect=1' | tee /etc/yum.repos.d/wazuh.repo

L’installazione base dell’Indexer si riduce all’installazione di un singolo package:

# dnf -y install wazuh-indexer
# cd /etc/wazuh-indexer

Configuriamo Wazuh indexer, editando il file /etc/wazuh-indexer/opensearch.yml:

network.host --> 192.168.100.100
   questo è l'indirizzo IP del nodo; sarà quello utilizzato dal servizio. Possiamo utilizzare cone network host il valore 0.0.0.0 per effettuare il listen del servizio su tutti gli indirizzi IP del nostro server.
node.name --> wazuh
   nome del nodo su cui è installato wazuh indexer;
cluster.initial_master_nodes --> wazuh
   lista dei nodi definiti come master-eligible
discovery.seed_hosts --> 192.168.100.100 
   lista degli indirizzi IP dei nodi definiti come master-eligible
plugins.security.nodes.dn --> "CN=wazuh,OU=IT Dep.,O=Anthesia Ltd,L=Italy,C=IT"
   lista dei DN dei certificati di tutti i Wazuh indexer dell'organizzazione
plugins.security.authcz.admin_dn --> "CN=admin,OU=Anthesia Ltd.,O=Anthesia Ltd.,L=Italy,C=IT"
      lista dei DN dei certificati dei manager dei nodi

Installiamo i certificati precedentemente creati:

# cd /etc/wazuh-indexer
# mkdir certs
# cp /usr/src/wazuh_install/wazuh-certificates/* certs/
# mv certs/wazuh.pem certs/indexer.pem
# mv certs/wazuh-key.pem certs/indexer-key.pem
# chmod 500 certs
# chmod 400 certs/*
# chown -R wazuh-indexer:wazuh-indexer certs

Abilitiamo ed avviamo il servizio:

# systemctl daemon-reload
# systemctl enable wazuh-indexer
# systemctl start wazuh-indexer

Inizializziamo il plugin relativo alla security:

# /usr/share/wazuh-indexer/bin/indexer-security-init.sh
   Security Admin v7
   Will connect to 192.168.100.100:9300 ... done
   Connected as CN=admin,OU=IT Dep.,O=Anthesia Ltd.,L=Italy,C=IT
   OpenSearch Version: 1.2.4
   OpenSearch Security Version: 1.2.4.0
   Contacting opensearch cluster 'opensearch' and wait for YELLOW clusterstate ...
   Clustername: wazuh-cluster
   Clusterstate: GREEN
   Number of nodes: 1
   Number of data nodes: 1
   .opendistro_security index does not exists, attempt to create it ... done (0-all replicas)
   Populate config from /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/
   Will update '_doc/config' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/config.yml
      SUCC: Configuration for 'config' created or updated
   Will update '_doc/roles' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/roles.yml
      SUCC: Configuration for 'roles' created or updated
   Will update '_doc/rolesmapping' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/roles_mapping.yml
      SUCC: Configuration for 'rolesmapping' created or updated
   Will update '_doc/internalusers' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/internal_users.yml
      SUCC: Configuration for 'internalusers' created or updated
   Will update '_doc/actiongroups' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/action_groups.yml
      SUCC: Configuration for 'actiongroups' created or updated
   Will update '_doc/tenants' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/tenants.yml
      SUCC: Configuration for 'tenants' created or updated
   Will update '_doc/nodesdn' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/nodes_dn.yml
      SUCC: Configuration for 'nodesdn' created or updated
   Will update '_doc/whitelist' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/whitelist.yml
      SUCC: Configuration for 'whitelist' created or updated
   Will update '_doc/audit' with /usr/share/wazuh-indexer/plugins/opensearch-security/securityconfig/audit.yml
      SUCC: Configuration for 'audit' created or updated
   Done with success

Infine, testiamo se il nostro indexer risponde correttamente ad una richiesta:

# curl -k -u admin:admin https://192.168.100.100:9200
{
  "name" : "wazuh",
  "cluster_name" : "wazuh-cluster",
  "cluster_uuid" : "XXXXXXXXXXXXXXXXXXXX",
  "version" : {
    "number" : "7.10.2",
    "build_type" : "rpm",
    "build_hash" : "XXXXXXXXXXXXXXXXXXXXXXXXXXX",
    "build_date" : "2022-01-14T03:38:06.881862Z",
    "build_snapshot" : false,
    "lucene_version" : "8.10.1",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "The OpenSearch Project: https://opensearch.org/"
}

Il nostro Wazuh Indexer, il motore di ricerca alla base di tutta la piattaforma, è installato, configurato e in stato di running.

Procediamo dunque con l’installazione di Wazuh Server 4.3 e di Filebeat-OSS.

← Wazuh 4.3 – InstallazioneWazuh Server 4.3 e Filebeat-OSS

2 Comments

Wazuh 4.3 - Installazione - Anthesia.NET · 09/06/2022 at 12:29

[…] Wazuh 4.3 Indexer e Filebeat OSS → […]

Wazuh Server 4.3 e Filebeat-OSS - Anthesia.NET · 23/06/2022 at 12:15

[…] effettuare l’installazione del server, utilizzeremo dnf con il repo di Wazuh installato e configurato precedentemente; successivamente abiliteremo ed avvieremo il […]

Comments are closed.