Установка Wazuh Dashboard 4.14 - пошаговое руководство
Wazuh Dashboard - это веб-интерфейс управления платформой, построенный на основе OpenSearch Dashboards. Через дашборд администраторы получают доступ к оповещениям, визуализациям, управлению агентами и настройкам безопасности. Перед установкой дашборда необходимо завершить установку Wazuh Indexer и установку Wazuh Server .
Предварительные требования
Аппаратные требования
| Параметр | Минимум | Рекомендация |
|---|---|---|
| CPU | 2 ядра | 4 ядра |
| RAM | 2 ГБ | 8 ГБ |
| Диск | 20 ГБ | 20 ГБ |
Сетевые требования
| Порт | Назначение |
|---|---|
| 443/TCP | Веб-интерфейс (HTTPS) |
| 9200/TCP | Подключение к Wazuh Indexer |
Зависимости
- Работающий Wazuh Indexer
- Работающий Wazuh Server
- Файл
wazuh-certificates.tarс сертификатами
Добавление репозитория
Ubuntu / Debian
apt-get install gnupg apt-transport-https
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring \
--keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" \
| tee -a /etc/apt/sources.list.d/wazuh.list
apt-get updateCentOS / RHEL 8 и ранее (YUM)
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
echo -e '[wazuh]\ngpgcheck=1\ngpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH\nenabled=1\nname=EL-$releasever - Wazuh\nbaseurl=https://packages.wazuh.com/4.x/yum/\nprotect=1' \
| tee /etc/yum.repos.d/wazuh.repoRHEL 9+ / CentOS Stream 10 (DNF)
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
echo -e '[wazuh]\ngpgcheck=1\ngpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH\nenabled=1\nname=EL-$releasever - Wazuh\nbaseurl=https://packages.wazuh.com/4.x/yum/\npriority=1' \
| tee /etc/yum.repos.d/wazuh.repoУстановка зависимостей и пакета
Ubuntu / Debian
apt-get install debhelper tar curl libcap2-bin
apt-get -y install wazuh-dashboardCentOS / RHEL 8 и ранее
yum install libcap
yum -y install wazuh-dashboardRHEL 9+ / CentOS Stream 10
dnf install libcap
dnf -y install wazuh-dashboardНастройка opensearch_dashboards.yml
Отредактируйте файл /etc/wazuh-dashboard/opensearch_dashboards.yml:
server.host: 0.0.0.0
server.port: 443
opensearch.hosts: https://localhost:9200
opensearch.ssl.verificationMode: certificateКлючевые параметры
| Параметр | Описание | Значение по умолчанию |
|---|---|---|
server.host | IP-адрес или 0.0.0.0 для приема соединений со всех интерфейсов | 0.0.0.0 |
server.port | Порт веб-интерфейса | 443 |
opensearch.hosts | URL индексатора (или массив URL для кластера) | https://localhost:9200 |
opensearch.ssl.verificationMode | Режим проверки TLS-сертификата | certificate |
Для подключения к кластеру индексаторов укажите несколько адресов:
opensearch.hosts:
- https://<IP_ИНДЕКСАТОРА_1>:9200
- https://<IP_ИНДЕКСАТОРА_2>:9200
- https://<IP_ИНДЕКСАТОРА_3>:9200Если дашборд установлен на отдельном хосте от индексатора, замените localhost на IP-адрес индексатора.
Развертывание сертификатов
NODE_NAME=dashboard
mkdir /etc/wazuh-dashboard/certs
tar -xf ./wazuh-certificates.tar -C /etc/wazuh-dashboard/certs/ \
./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem
[ ! -e /etc/wazuh-dashboard/certs/dashboard.pem ] && \
mv -n /etc/wazuh-dashboard/certs/$NODE_NAME.pem /etc/wazuh-dashboard/certs/dashboard.pem
[ ! -e /etc/wazuh-dashboard/certs/dashboard-key.pem ] && \
mv -n /etc/wazuh-dashboard/certs/$NODE_NAME-key.pem /etc/wazuh-dashboard/certs/dashboard-key.pem
chmod 500 /etc/wazuh-dashboard/certs
chmod 400 /etc/wazuh-dashboard/certs/*
chown -R wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certsЗамените dashboard на имя узла дашборда, указанное в config.yml при генерации сертификатов.
Запуск службы
systemctl daemon-reload
systemctl enable wazuh-dashboard
systemctl start wazuh-dashboardНастройка подключения к Wazuh Server
Отредактируйте файл /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml:
hosts:
- default:
url: https://<IP_СЕРВЕРА_WAZUH>
port: 55000
username: wazuh-wui
password: <WUI_PASSWORD>
run_as: trueЗамените <IP_СЕРВЕРА_WAZUH> на IP-адрес узла с Wazuh Manager и <WUI_PASSWORD> на пароль пользователя wazuh-wui.
Первый вход
Откройте браузер и перейдите по адресу:
https://<IP_ДАШБОРДА>Учетные данные по умолчанию:
- Логин:
admin - Пароль:
admin
Браузер отобразит предупреждение о самоподписанном сертификате. Подтвердите исключение для продолжения.
Смена паролей по умолчанию
Для production-среды необходимо сменить все пароли по умолчанию.
Смена всех паролей (рекомендуется)
/usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh \
--api --change-all --admin-user wazuh --admin-password wazuhЭта команда изменит пароли всех внутренних пользователей, включая admin и wazuh-wui.
Смена пароля конкретного пользователя
/usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh \
--user admin --password <НОВЫЙ_ПАРОЛЬ> --admin-user wazuh --admin-password wazuhПосле смены паролей обновите конфигурацию подключения в /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml и перезапустите дашборд:
systemctl restart wazuh-dashboardТакже обновите учетные данные в keystore Filebeat на сервере:
echo <НОВЫЙ_ПАРОЛЬ> | filebeat keystore add password --stdin --force
systemctl restart filebeatИспользование собственных сертификатов
Для замены самоподписанных сертификатов на выданные корпоративным или публичным CA:
- Поместите файлы сертификата, ключа и CA в
/etc/wazuh-dashboard/certs/ - Обновите пути в
/etc/wazuh-dashboard/opensearch_dashboards.yml:
server.ssl.enabled: true
server.ssl.certificate: /etc/wazuh-dashboard/certs/your-cert.pem
server.ssl.key: /etc/wazuh-dashboard/certs/your-key.pem
opensearch.ssl.certificateAuthorities: ["/etc/wazuh-dashboard/certs/your-ca.pem"]- Установите права доступа:
chmod 400 /etc/wazuh-dashboard/certs/*
chown -R wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs- Перезапустите службу:
systemctl restart wazuh-dashboardУстранение неполадок
Дашборд не запускается
journalctl -u wazuh-dashboard -xeЧастые причины:
- Порт 443 занят другим процессом (например, Apache или Nginx)
- Ошибки в
opensearch_dashboards.yml- проверьте YAML-синтаксис - Неправильные права на сертификаты
Ошибка подключения к индексатору
- Проверьте доступность индексатора:
curl -k -u admin https://<IP_ИНДЕКСАТОРА>:9200 - Убедитесь, что
opensearch.hostsсодержит корректный URL - Проверьте сертификаты в
/etc/wazuh-dashboard/certs/
Ошибка “Wazuh API is not reachable”
- Проверьте доступность API:
curl -sk -u wazuh-wui:<PASSWORD> -X POST "https://<IP_СЕРВЕРА>:55000/security/user/authenticate" - Убедитесь в корректности URL, порта и учетных данных в
wazuh.yml - Проверьте статус Wazuh Manager:
systemctl status wazuh-manager
Страница загружается без данных
- Дождитесь индексации данных (может занять несколько минут после первого запуска)
- Проверьте наличие индексов:
curl -k -u admin https://<IP_ИНДЕКСАТОРА>:9200/_cat/indices?v - Убедитесь, что Filebeat отправляет данные:
filebeat test outputна сервере
Отключение автоматических обновлений
Ubuntu / Debian:
sed -i "s/^deb /#deb /" /etc/apt/sources.list.d/wazuh.list
apt-get updateCentOS / RHEL:
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repoДальнейшие шаги
- Установка Wazuh Agent - развертывание агентов на конечных точках
- Компоненты Wazuh - описание каждого компонента платформы
- Удаление Wazuh - процедура удаления компонентов