« LINUX:Wazuh-WUI » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 18 : | Ligne 18 : | ||
Par rapport aux schémas précédents, diverses pièces viennent s'ajouter: | Par rapport aux schémas précédents, diverses pièces viennent s'ajouter: | ||
* '''Wazuh-Indexer''' (ElasticSearch): est la pièce centrale. Il est constitué du logiciel ElasticSearch qui a été personnalisé pour Wazuh. Il est chargé de classer, d'organiser, les alertes qu'il va recevoir du logiciel Filebeat. Le résultat de ce travail pourra à son tour être consulté par le logiciel Wazuh- | * '''Wazuh-Indexer''' (ElasticSearch): est la pièce centrale. Il est constitué du logiciel ElasticSearch qui a été personnalisé pour Wazuh. Il est chargé de classer, d'organiser, les alertes qu'il va recevoir du logiciel Filebeat. Le résultat de ce travail pourra à son tour être consulté par le logiciel Wazuh-Dashboard. Il reçoit ses données et distribue ses résultats via le port réseau TCP 9200. | ||
* '''Filebeat''': est chargé d'intercepter les alertes émises par Wazuh-Manager en inspectant ses journaux. Il les transmet au logiciel Wazuh-Indexer via son port d'écoute réseau TCP 9200. | * '''Filebeat''': est chargé d'intercepter les alertes émises par Wazuh-Manager en inspectant ses journaux. Il les transmet au logiciel Wazuh-Indexer via son port d'écoute réseau TCP 9200. | ||
* '''Wazuh- | * '''Wazuh-Dashboard''' (Kibana): est l'interface graphique Web qui sera utilisé par tout explorateur Web tel Firefox d'un PC du réseau. Il est constitué du logiciel Kibana qui a été personnalisé pour Wazuh. Il sera accessible sur le port réseau TCP 444. A la base, c'est le port réseau TCP 443 (HTTPS) qui est implémenté mais comme ce port est déjà utilisé par le serveur Apache, ce port a dû être changé. Il va récolter les alertes de Wazuh-Manager centralisées par le logiciel Wazuh-Indexer via son port d'écoute réseau TCP 9200. D'autre part, il récupère la configuration de Wazuh-Manager en utilisant son Wazuh-API qui écoute sur le port réseau TCP 55000. | ||
* '''Wazuh-API''': est un interface de type HTTP qui permet de consulter le contenu des informations dont dispose Wazuh-Manager via son port réseau TCP 55000. | * '''Wazuh-API''': est un interface de type HTTP qui permet de consulter le contenu des informations dont dispose Wazuh-Manager via son port réseau TCP 55000. | ||
=Installation= | |||
Anciennement, il fallait installer Elasticsearch et Kibana et ensuite procéder à l'exécution de divers scripts disponibles sur le site de Wazuh. Maintenant cette partie a été fortement simplifiée. | |||
Notons qu'il est fortement conseillé de consulter la document en ligne sur le site de Wazuh pour effectuer cette installation à l'adresse: | |||
* <nowiki>https://documentation.wazuh.com/current/installation-guide/wazuh-indexer/step-by-step.html</nowiki> pour Wazuh-Indexer. | |||
* <nowiki>https://documentation.wazuh.com/current/installation-guide/wazuh-dashboard/step-by-step.html</nowiki> pour Wazuh-Dashboard. | |||
* <nowiki>https://documentation.wazuh.com/current/installation-guide/wazuh-server/step-by-step.html</nowiki> (seconde partie) pour Filebeat. | |||
Nous procédons à l'installation grâce aux commandes suivantes sur la machine (A) hébergeant Wazuh-Manager: | |||
dnf install wazuh-indexer | |||
dnf install filebeat | |||
dnf install filebeat | |||