Документация
Документация Wazuh 4.14 - руководство по SIEM/XDR
Инфраструктура Wazuh - кластеры, API и управление

Инфраструктура Wazuh - кластеры, API и управление

Инфраструктура Wazuh 4.14 включает несколько компонентов, обеспечивающих сбор, обработку, хранение и визуализацию данных безопасности в распределенной среде. Правильная настройка инфраструктурного уровня определяет производительность, отказоустойчивость и масштабируемость всей платформы.

Компоненты инфраструктуры

Wazuh разделяет инфраструктуру на три ключевых уровня: серверный кластер для анализа событий, REST API для программного управления и кластер индексатора для хранения и поиска данных. Каждый уровень масштабируется независимо, что позволяет адаптировать архитектуру под конкретные требования организации.

Серверный кластер Wazuh

Кластер серверов Wazuh объединяет несколько менеджеров (master и worker) для распределения нагрузки анализа событий. Механизм синхронизации обеспечивает согласованность правил, декодеров, CDB-списков и конфигурации групп агентов между узлами. Кластерная архитектура позволяет обслуживать тысячи агентов с балансировкой нагрузки и автоматическим переключением при сбоях.

REST API сервера Wazuh

REST API предоставляет программный интерфейс для управления всеми аспектами платформы: агентами, правилами, декодерами, группами, конфигурацией менеджера и кластера. API работает по HTTPS на порту 55000, использует JWT-аутентификацию и поддерживает ролевую модель доступа (RBAC). Интеграция с внешними системами, автоматизация операций и разработка пользовательских инструментов - основные сценарии использования API.

Кластер индексатора Wazuh

Кластер индексатора на базе OpenSearch обеспечивает долгосрочное хранение, индексацию и поиск событий безопасности. Архитектура поддерживает распределение данных по шардам, репликацию для отказоустойчивости и управление жизненным циклом индексов (ISM). Настройка JVM, стратегия шардирования и политики ротации индексов напрямую влияют на производительность хранилища.

Взаимодействие компонентов

Серверный кластер получает события от агентов через порт 1514/TCP, анализирует их с помощью правил и декодеров, затем передает результаты в индексатор через Filebeat по порту 9200/TCP. REST API на порту 55000 позволяет управлять конфигурацией кластера, а дашборд на порту 443 предоставляет визуализацию данных из индексатора.

Подробное описание архитектуры и потоков данных доступно в разделе начала работы. Для установки компонентов обратитесь к руководству по установке Wazuh .

Планирование масштабирования

При планировании инфраструктуры необходимо учитывать количество агентов, объем генерируемых событий (EPS) и требования к хранению данных. Общие рекомендации:

Количество агентовСерверный кластерИндексаторОперативная память (индексатор)
До 1001 узел (standalone)1 узел4-8 ГБ
100-5002 узла (master + worker)3 узла8-16 ГБ на узел
500-50003-5 узлов3-5 узлов16-32 ГБ на узел
5000+5+ узлов5+ узлов32+ ГБ на узел

Конкретные рекомендации по настройке каждого компонента представлены в соответствующих разделах документации.

Last updated on