Instalasi Wazuh Agent¶
Wazuh agent berjalan pada endpoint yang akan kita lakukan monitor. Installasi dapat dilakukan mengacu pada halaman Agent > Deploy new agent pada dashboard wazuh.
Linux¶
Versi wazuh agent tidak boleh lebih besar dibanding versi wazuh server.
Variabel WAZUH_MANAGER dan WAZUH_REGISTRATION_PASSWORD bersifat wajib
WAZUH_MANAGER='hostname/ip server'
WAZUH_MANAGER_PORT='port-server default=1514'
WAZUH_REGISTRATION_PASSWORD='password-registrasi (dapat dilihat pada /var/ossec/etc/authd.pass)'
WAZUH_REGISTRATION_PORT='port-registrasi default=1515'
WAZUH_AGENT_GROUP='default'
WAZUH_AGENT_NAME='name-agent'
Installasi
sudo WAZUH_MANAGER=$WAZUH_MANAGER \
WAZUH_MANAGER_PORT=$WAZUH_MANAGER_PORT \
WAZUH_REGISTRATION_PASSWORD=$WAZUH_REGISTRATION_PASSWORD \
WAZUH_REGISTRATION_PORT=$WAZUH_REGISTRATION_PORT \
WAZUH_AGENT_GROUP='default' \
WAZUH_AGENT_NAME='name-agent' \
yum install -y https://packages.wazuh.com/4.x/yum/wazuh-agent-4.4.3-1.x86_64.rpm
curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.4.3-1_amd64.deb && \
sudo WAZUH_MANAGER=$WAZUH_MANAGER \
WAZUH_MANAGER_PORT=$WAZUH_MANAGER_PORT \
WAZUH_REGISTRATION_PASSWORD=$WAZUH_REGISTRATION_PASSWORD \
WAZUH_REGISTRATION_PORT=$WAZUH_REGISTRATION_PORT \
WAZUH_AGENT_GROUP='default' \
WAZUH_AGENT_NAME='name-agent' \
dpkg -i ./wazuh-agent.deb
Aktifkan juga perintah tersentralisasi dari wazuh agent ke wazuh server. Tambahkan baris berikut pada file /var/ossec/etc/local_internal_options.conf di akhir baris.
wazuh_command.remote_commands=1
Setelah itu aktifkan wazuh agent.
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
Windows¶
Versi wazuh agent tidak boleh lebih besar dibanding versi wazuh server.
Perlu membutuhkan administrator privileges untuk melakukan installasi.
Pastikan bahwa perintah dijalankan pada Windows PowerShell terminal.
Variabel WAZUH_MANAGER dan WAZUH_REGISTRATION_PASSWORD bersifat wajib
WAZUH_MANAGER='hostname/ip server'
WAZUH_MANAGER_PORT='port-server default=1514'
WAZUH_REGISTRATION_PASSWORD='password-registrasi (dapat dilihat pada /var/ossec/etc/authd.pass)'
WAZUH_REGISTRATION_PORT='port-registrasi default=1515'
WAZUH_AGENT_GROUP='default'
WAZUH_AGENT_NAME='name-agent'
Installasi
Download file wazuh-agent.msi dari halaman berikut, dan pastikan mendownload versi wazuh-agent yang sesuai: https://packages.wazuh.com/4.x/windows/wazuh-agent-4.4.3-1.msi
Jalankan perintah berikut pada direktori berkas yang sudah di instal.
msiexec.exe /i wazuh-agent-4.4.3-1.msi /q WAZUH_MANAGER=$WAZUH_MANAGER WAZUH_MANAGER_PORT=$WAZUH_MANAGER_PORT WAZUH_REGISTRATION_PASSWORD=$WAZUH_REGISTRATION_PASSWORD WAZUH_REGISTRATION_PORT=$WAZUH_REGISTRATION_PORT WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='name-agent'
Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.4.3-1.msi -OutFile ${env:tmp}\wazuh-agent.msi
msiexec.exe /i ${env:tmp}\wazuh-agent.msi /q WAZUH_MANAGER=$WAZUH_MANAGER WAZUH_MANAGER_PORT=$WAZUH_MANAGER_PORT WAZUH_REGISTRATION_PASSWORD=$WAZUH_REGISTRATION_PASSWORD WAZUH_REGISTRATION_PORT=$WAZUH_REGISTRATION_PORT WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='name-agent'
Aktifkan juga perintah tersentralisasi dari wazuh agent ke wazuh server. Masuk ke direktori C:\Program Files (x86)\ossec-agent, lalu buka dan tambahkan baris berikut pada local_internal_options.conf di akhir baris.
wazuh_command.remote_commands=1
Setelah itu aktifkan wazuh agent.
NET START Wazuh