Wazuh OVA镜像部署实战：从零搭建开源XDR-SIEM一体化平台

1. 为什么选择Wazuh OVA镜像部署

如果你正在寻找一个开源的XDR-SIEM一体化解决方案，Wazuh绝对值得考虑。作为一个集成了安全信息与事件管理(SIEM)和扩展检测与响应(XDR)功能的平台，Wazuh能够提供从日志分析到端点防护的全方位安全监控。而使用OVA镜像部署，可能是最快上手Wazuh的方式。

我第一次接触Wazuh时，尝试过从源码编译安装，整个过程花了整整一天时间，各种依赖问题让人抓狂。后来发现了官方提供的OVA镜像，15分钟就搞定了部署，这种效率对比太明显了。OVA镜像相当于一个"开箱即用"的解决方案，里面已经预装了Wazuh的所有核心组件，包括Indexer、Manager和Dashboard，而且这些组件都已经完成了相互之间的关联配置。

对于测试环境、开发环境或者小型生产环境，OVA部署方式特别适合。想象一下，你只需要下载一个文件，导入到虚拟机软件，启动后就能获得一个完整运行的Wazuh环境，这比传统的一步步安装配置要省事太多了。不过要注意，OVA方式不适合大规模生产环境，因为它没有内置的高可用机制。如果你需要企业级部署，还是需要考虑分布式安装方案。

2. 部署前的准备工作

2.1 硬件和软件需求

在开始部署之前，我们需要确保环境满足基本要求。根据我的实测经验，建议的配置如下：

• CPU: 至少4核（实测2核也能运行，但处理大量日志时会明显卡顿）
• 内存: 8GB起步（4GB勉强可用，但16GB会更流畅）
• 存储: 100GB磁盘空间（日志数据增长很快，建议预留足够空间）
• 网络: 稳定的网络连接（因为需要下载OVA镜像，大小约3GB）

软件方面，你需要准备一个虚拟化平台。常见的选择有：

• VMware Workstation/ESXi（企业环境首选）
• VirtualBox（个人测试环境推荐，免费且易用）
• KVM（Linux用户的选择）

我个人在测试时主要使用VirtualBox，因为它完全免费，而且跨平台支持很好。如果你是企业用户，VMware的稳定性会更好一些。

2.2 下载Wazuh OVA镜像

Wazuh官网提供了最新的OVA镜像下载，地址在官方文档中可以找到。这里有个小技巧：下载时建议使用下载工具，因为文件较大，直接浏览器下载可能会中断。我遇到过几次下载到90%突然失败的情况，非常恼火。

下载完成后，记得验证文件的完整性。官方通常会提供SHA256校验值，你可以用以下命令检查：

sha256sum wazuh-<version>.ova

这个步骤很多人会忽略，但真的很重要。我曾经因为下载的文件损坏，导入时各种报错，排查了半天才发现是下载不完整导致的。

3. 导入和配置OVA镜像

3.1 导入OVA到虚拟化平台

以VirtualBox为例，导入OVA的步骤如下：

1. 打开VirtualBox，点击"文件"→"导入虚拟电脑"
2. 选择下载的OVA文件
3. 在导入设置中，可以根据需要调整CPU、内存等参数
4. 点击"导入"按钮，等待完成

导入过程中可能会提示"此应用设备不受支持"，这是正常的，直接忽略即可。导入完成后，建议先不要立即启动，而是检查一下虚拟机设置：

• 网络适配器：确保设置为"桥接模式"或"NAT"，取决于你的网络环境
• 显示内存：建议设置为128MB（默认可能只有16MB）
• 共享剪贴板：设置为"双向"会方便后续操作

3.2 首次启动和基础配置

启动虚拟机后，你会看到命令行登录界面。默认凭据是：

• 用户名：wazuh-user
• 密码：wazuh

登录后，建议立即执行以下操作：

1. 切换到root用户：

   sudo -i

2. 检查IP地址：

   ip a

3. 如果需要修改网络配置，编辑：

   vi /etc/netplan/50-cloud-init.yaml

这里有个常见问题：有时候网卡不会自动获取IP地址。如果发现没有IP分配，可以尝试重启网络服务：

netplan apply systemctl restart systemd-networkd

4. 访问Wazuh Web界面

4.1 初始登录和密码修改

获取到IP地址后，就可以通过浏览器访问Wazuh Dashboard了。地址是：

https://<你的IP>

默认的管理员凭据是：

• 用户名：admin
• 密码：admin

首次登录后，强烈建议立即修改默认密码。我见过太多因为使用默认密码导致的安全事件了。修改密码的路径是：

1. 点击左侧菜单"管理"→"用户"
2. 选择admin用户，点击编辑
3. 设置新密码并保存

同时，还应该修改API用户的密码。进入"管理"→"安全"，你会看到两个内置用户：

• wazuh：用于API调用的管理员账户
• wazuh-wui：Dashboard与后台通信的专用账户

修改这些密码后，系统可能会提示你需要更新相关配置。比如修改wazuh-wui密码后，需要在Dashboard配置中同步更新，否则会导致Dashboard无法正常工作。

4.2 界面概览和基本功能

Wazuh Dashboard基于Kibana开发，但针对安全监控做了大量定制。主要功能区域包括：

• 安全事件：展示检测到的各种安全事件
• 代理管理：管理所有连接的端点代理
• 规则管理：查看和编辑检测规则
• 漏洞检测：显示已识别的系统漏洞
• 合规检查：对照各种合规标准进行检查

初次使用时，建议先浏览"概览"页面，这里会展示整个系统的健康状态和关键指标。如果所有服务都正常运行，你会看到绿色的状态标记。如果有服务异常，这里会显示红色警告。

5. 添加和管理代理

5.1 在Linux系统安装代理

Wazuh的强大之处在于它能够监控多个端点。以下是在Debian/Ubuntu系统安装代理的步骤：

1. 添加GPG密钥：

   curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg

2. 添加仓库：

   echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

3. 更新并安装：

   apt-get update apt-get install wazuh-agent

安装完成后，需要配置代理连接到服务器。编辑配置文件：

vi /var/ossec/etc/ossec.conf

找到<address>部分，填入Wazuh服务器的IP地址：

<address>192.168.1.100</address>

然后启动服务并设置开机自启：

systemctl start wazuh-agent systemctl enable wazuh-agent

5.2 验证代理连接

回到Wazuh Dashboard，在"代理"页面应该能看到新连接的代理。初始状态可能是"未完成"，这是因为代理需要一些时间来收集初始数据并发送到服务器。

点击代理名称可以查看详细信息，包括：

• 系统信息（OS、硬件等）
• 运行中的进程
• 安装的软件包
• 网络连接
• 安全事件

如果代理长时间处于"未完成"状态，可以检查代理日志：

tail -f /var/ossec/logs/ossec.log

常见问题包括网络连接问题、时间不同步等。我遇到过最棘手的问题是SELinux阻止了代理通信，临时解决方案是设置SELinux为permissive模式：

setenforce 0

6. 基础安全配置建议

6.1 网络加固

虽然Wazuh本身是一个安全工具，但它的部署也需要遵循安全最佳实践：

1. 防火墙规则：限制对Wazuh服务器的访问，只允许必要的IP地址连接管理端口（通常是1514、1515和443）

2. 更改SSH端口：修改默认的22端口，减少暴力破解尝试

3. 禁用root SSH登录：编辑/etc/ssh/sshd_config，设置：

   PermitRootLogin no

4. 配置fail2ban：防止暴力破解攻击

6.2 日志和监控配置

Wazuh本身会产生大量日志，合理配置日志轮转很重要：

1. 编辑logrotate配置：

   vi /etc/logrotate.d/wazuh

2. 添加类似以下内容：

   /var/ossec/logs/*.log { daily missingok rotate 7 compress delaycompress notifempty create 0640 wazuh wazuh sharedscripts postrotate /var/ossec/bin/ossec-control restart >/dev/null 2>&1 || true endscript }

此外，建议配置Wazuh监控自身的健康状态。可以通过添加自定义规则来监控Wazuh服务是否正常运行、磁盘空间是否充足等关键指标。

7. 常见问题排查

在部署和使用Wazuh过程中，难免会遇到各种问题。以下是我总结的一些常见问题及解决方法：

问题1：Dashboard无法访问，显示"无法连接到Wazuh API"

解决方法：

1. 检查wazuh-manager服务是否运行：

   systemctl status wazuh-manager

2. 检查API配置：

   vi /var/ossec/api/configuration/config.js

   确保host设置正确

问题2：代理无法连接到服务器

解决方法：

1. 检查网络连通性：

   telnet <服务器IP> 1514

2. 检查服务器防火墙规则
3. 验证代理和服务器的时间是否同步（时间差超过5分钟会导致连接失败）

问题3：系统运行缓慢，响应延迟

解决方法：

1. 检查资源使用情况：

   top

2. 如果是Elasticsearch内存不足，可以调整JVM设置：

   vi /etc/wazuh-indexer/jvm.options

   修改-Xms和-Xmx参数（建议不超过物理内存的一半）

8. 进阶配置建议

当你熟悉了基本操作后，可以考虑一些进阶配置来提升Wazuh的效能：

1. 自定义规则：Wazuh支持自定义检测规则，可以根据你的环境特点添加特定规则。规则文件位于/var/ossec/etc/rules/

2. 告警集成：配置邮件或Slack通知，当检测到关键事件时自动发送告警

3. 漏洞扫描：定期对管理的端点进行漏洞扫描，识别已知漏洞

4. 合规监控：配置PCI DSS、HIPAA等合规标准的检查策略

5. 日志归档：设置长期日志存储方案，如归档到S3或其他存储系统

记得每次修改配置后，需要重启相关服务才能使更改生效。可以使用以下命令：

wazuh-control restart

在实际使用中，我发现Wazuh的社区非常活跃，遇到问题时官方文档和论坛通常能找到解决方案。对于更复杂的需求，可以考虑购买商业支持，获得更专业的技术保障。