Установка Wazuh Agent 4.14 - Linux, Windows, macOS
Wazuh Agent - это легковесный компонент, устанавливаемый на контролируемых конечных точках. Агент собирает данные о событиях безопасности, выполняет локальные проверки и передает результаты на Wazuh Server для анализа. Данное руководство описывает установку агента на Linux, Windows и macOS.
Совместимость версий
Версия агента должна быть равна или ниже версии Wazuh Manager. Агент 4.14 совместим с менеджером 4.14 и выше. Обратная совместимость не гарантирована - не устанавливайте агент версии выше, чем версия менеджера.
Переменные развертывания
При установке агента можно задать параметры подключения через переменные окружения:
| Переменная | Описание | Пример |
|---|---|---|
WAZUH_MANAGER | IP-адрес или hostname менеджера | 10.0.0.2 |
WAZUH_AGENT_NAME | Имя агента (отображается в дашборде) | web-server-01 |
WAZUH_AGENT_GROUP | Группа агента для централизованного управления | linux-servers |
WAZUH_REGISTRATION_PASSWORD | Пароль для авторизованной регистрации | MyPassword |
Установка на Linux (DEB - Ubuntu/Debian)
Добавление репозитория
apt-get install gnupg apt-transport-https
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring \
--keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" \
| tee -a /etc/apt/sources.list.d/wazuh.list
apt-get updateУстановка пакета
WAZUH_MANAGER="<IP_МЕНЕДЖЕРА>" apt-get install wazuh-agentС дополнительными параметрами:
WAZUH_MANAGER="<IP_МЕНЕДЖЕРА>" \
WAZUH_AGENT_NAME="web-server-01" \
WAZUH_AGENT_GROUP="linux-servers" \
apt-get install wazuh-agentЗапуск службы
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agentУстановка на Linux (RPM - CentOS/RHEL)
Добавление репозитория
CentOS / RHEL 8 и ранее (YUM):
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOFRHEL 9+ / CentOS Stream 10 (DNF):
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
priority=1
EOFУстановка пакета
WAZUH_MANAGER="<IP_МЕНЕДЖЕРА>" yum install wazuh-agentИли через DNF:
WAZUH_MANAGER="<IP_МЕНЕДЖЕРА>" dnf install wazuh-agentЗапуск службы
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agentДля систем без systemd:
chkconfig --add wazuh-agent
service wazuh-agent startУстановка на Windows
Загрузка пакета
Скачайте MSI-инсталлятор:
https://packages.wazuh.com/4.x/windows/wazuh-agent-4.14.4-1.msiТихая установка (CMD)
wazuh-agent-4.14.4-1.msi /q WAZUH_MANAGER="<IP_МЕНЕДЖЕРА>"С дополнительными параметрами:
wazuh-agent-4.14.4-1.msi /q WAZUH_MANAGER="<IP_МЕНЕДЖЕРА>" WAZUH_AGENT_NAME="win-desktop-01" WAZUH_AGENT_GROUP="windows-workstations"Тихая установка (PowerShell)
.\wazuh-agent-4.14.4-1.msi /q WAZUH_MANAGER="<IP_МЕНЕДЖЕРА>"Запуск службы
CMD:
NET START WazuhSvcPowerShell:
Start-Service wazuhsvcПуть установки
Агент устанавливается в C:\Program Files (x86)\ossec-agent\.
Установка на macOS
Загрузка пакета
Apple Silicon (M1/M2/M3/M4):
https://packages.wazuh.com/4.x/macos/wazuh-agent-4.14.4-1.arm64.pkgIntel:
https://packages.wazuh.com/4.x/macos/wazuh-agent-4.14.4-1.intel64.pkgУстановка
Apple Silicon:
echo "WAZUH_MANAGER='<IP_МЕНЕДЖЕРА>'" > /tmp/wazuh_envs && \
sudo installer -pkg wazuh-agent-4.14.4-1.arm64.pkg -target /Intel:
echo "WAZUH_MANAGER='<IP_МЕНЕДЖЕРА>'" > /tmp/wazuh_envs && \
sudo installer -pkg wazuh-agent-4.14.4-1.intel64.pkg -target /С дополнительными параметрами:
echo "WAZUH_MANAGER='<IP_МЕНЕДЖЕРА>' WAZUH_AGENT_NAME='mac-dev-01' WAZUH_AGENT_GROUP='macos-workstations'" > /tmp/wazuh_envs && \
sudo installer -pkg wazuh-agent-4.14.4-1.arm64.pkg -target /Запуск службы
sudo launchctl bootstrap system /Library/LaunchDaemons/com.wazuh.agent.plistПуть установки
Агент устанавливается в /Library/Ossec/.
Методы регистрации
Регистрация по IP менеджера
Основной метод - указание IP-адреса менеджера через переменную WAZUH_MANAGER при установке. Агент автоматически подключается к менеджеру и запрашивает ключ аутентификации.
Регистрация с паролем
Для ограничения регистрации только авторизованными агентами настройте пароль на менеджере:
echo "MyRegistrationPassword" > /var/ossec/etc/authd.pass
chmod 640 /var/ossec/etc/authd.pass
chown root:wazuh /var/ossec/etc/authd.pass
systemctl restart wazuh-managerПри установке агента укажите пароль:
WAZUH_MANAGER="<IP_МЕНЕДЖЕРА>" \
WAZUH_REGISTRATION_PASSWORD="MyRegistrationPassword" \
apt-get install wazuh-agentРучная регистрация после установки
Если агент установлен без указания менеджера, настройте подключение вручную.
Отредактируйте /var/ossec/etc/ossec.conf (Linux/macOS) или C:\Program Files (x86)\ossec-agent\ossec.conf (Windows):
<client>
<server>
<address><IP_МЕНЕДЖЕРА></address>
<port>1514</port>
<protocol>tcp</protocol>
</server>
</client>Перезапустите агент после изменения конфигурации.
Ключевые секции конфигурации агента
Файл ossec.conf агента содержит основные параметры работы:
| Секция | Описание |
|---|---|
<client> | Адрес и порт менеджера, протокол подключения |
<syscheck> | Мониторинг целостности файлов - директории, частота, исключения |
<rootcheck> | Обнаружение руткитов |
<localfile> | Локальные лог-файлы для мониторинга |
<active-response> | Настройки автоматического реагирования |
<labels> | Пользовательские метки агента |
Массовое развертывание
Ansible
Используйте роль wazuh-agent из официальной коллекции:
- hosts: all
roles:
- role: wazuh-agent
wazuh_manager_ip: "<IP_МЕНЕДЖЕРА>"
wazuh_agent_group: "linux-servers"Group Policy (Windows)
Для развертывания через GPO:
- Поместите MSI-пакет в сетевую папку, доступную целевым компьютерам
- Создайте GPO с назначением программного обеспечения (Computer Configuration - Software Installation)
- Используйте трансформацию MST для указания параметров
WAZUH_MANAGERиWAZUH_AGENT_GROUP
SCCM / Intune
Создайте пакет развертывания с командной строкой:
msiexec /i wazuh-agent-4.14.4-1.msi /q WAZUH_MANAGER="<IP_МЕНЕДЖЕРА>" WAZUH_AGENT_GROUP="windows-workstations"Скрипт массового развертывания (Linux)
Пример скрипта для развертывания через SSH:
#!/bin/bash
MANAGER_IP="10.0.0.2"
HOSTS="host1 host2 host3"
for HOST in $HOSTS; do
ssh root@$HOST "
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring \
--keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && \
chmod 644 /usr/share/keyrings/wazuh.gpg && \
echo 'deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main' \
| tee /etc/apt/sources.list.d/wazuh.list && \
apt-get update && \
WAZUH_MANAGER='$MANAGER_IP' apt-get -y install wazuh-agent && \
systemctl daemon-reload && systemctl enable wazuh-agent && systemctl start wazuh-agent
"
doneПроверка подключения
На агенте
# Linux / macOS
/var/ossec/bin/wazuh-control status
# Windows (CMD, от имени администратора)
"C:\Program Files (x86)\ossec-agent\wazuh-control.exe" statusНа сервере
/var/ossec/bin/agent_control -lИли через REST API:
TOKEN=$(curl -sk -u wazuh-wui:<WUI_PASSWORD> \
-X POST "https://localhost:55000/security/user/authenticate?raw=true")
curl -sk -H "Authorization: Bearer $TOKEN" \
"https://localhost:55000/agents?status=active&limit=10" | python3 -m json.toolУстранение неполадок
Агент не подключается к менеджеру
Проверьте доступность портов 1514 и 1515 на менеджере:
nc -zv <IP_МЕНЕДЖЕРА> 1514 nc -zv <IP_МЕНЕДЖЕРА> 1515Проверьте лог агента:
cat /var/ossec/logs/ossec.log | tail -30 # Linux/macOS type "C:\Program Files (x86)\ossec-agent\ossec.log" # WindowsУбедитесь, что IP менеджера корректно указан в
ossec.conf
Ошибка аутентификации
- Убедитесь, что пароль регистрации совпадает на агенте и менеджере
- Проверьте лог менеджера:
cat /var/ossec/logs/ossec.log | grep -i "error\|auth" - При необходимости удалите агент с менеджера и повторите регистрацию:
/var/ossec/bin/manage_agents -r <AGENT_ID>
Несовпадение версий
Если версия агента выше версии менеджера, агент может работать некорректно. Проверьте версии:
# На агенте
/var/ossec/bin/wazuh-control info | grep version
# На менеджере
/var/ossec/bin/wazuh-control info | grep versionАгент не отправляет данные
- Проверьте статус службы:
systemctl status wazuh-agent # Linux sc query WazuhSvc # Windows - Убедитесь, что агент зарегистрирован: проверьте наличие файла
/var/ossec/etc/client.keys - Перезапустите агент:
systemctl restart wazuh-agent # Linux NET STOP WazuhSvc && NET START WazuhSvc # Windows
Отключение автоматических обновлений
Ubuntu / Debian:
sed -i "s/^deb /#deb /" /etc/apt/sources.list.d/wazuh.list
apt-get updateCentOS / RHEL:
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repoДальнейшие шаги
- Архитектура Wazuh - понимание взаимодействия компонентов
- Компоненты Wazuh - подробное описание агента и сервера
- Удаление Wazuh - корректное удаление агента