搬瓦工 VPS Wazuh 安全监控平台搭建教程
Wazuh 是一款功能强大的开源安全平台,集成了入侵检测(HIDS)、日志分析、文件完整性监控(FIM)、漏洞检测、安全配置评估和合规审计等功能。它基于 OSSEC 项目发展而来,并增加了 Web 管理界面和 Elasticsearch 集成,是企业级安全信息与事件管理(SIEM)的完整解决方案。本文将介绍如何在搬瓦工 VPS 上搭建 Wazuh 安全平台。
一、系统要求
- 内存:至少 4GB,推荐 8GB 以上(Wazuh 包含 Elasticsearch 组件,内存需求较大)。
- 磁盘:至少 50GB 可用空间。
- CPU:至少 2 核心。
- 前置条件:已安装 Docker 和 Docker Compose。
二、使用 Docker 一键部署
2.1 下载部署文件
git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.0
cd wazuh-docker/single-node2.2 生成 SSL 证书
docker compose -f generate-indexer-certs.yml run --rm generator2.3 启动 Wazuh 平台
docker compose up -d启动过程可能需要几分钟,可通过日志监控进度:
docker compose logs -f2.4 访问管理界面
部署完成后访问 https://your-server-ip:443,默认凭证为 admin / SecretPassword。务必在首次登录后立即修改默认密码。
三、安装 Wazuh Agent
3.1 在被监控的服务器上安装
# Ubuntu / Debian
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --dearmor -o /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" > /etc/apt/sources.list.d/wazuh.list
apt update
apt install wazuh-agent -y
# CentOS / RHEL
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo <<EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF
yum install wazuh-agent -y3.2 配置 Agent 连接 Manager
# 编辑 Agent 配置文件
vi /var/ossec/etc/ossec.conf
# 修改 server address 为 Wazuh Manager 的 IP
# <server>
# <address>YOUR_WAZUH_MANAGER_IP</address>
# </server>
# 启动 Agent
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent四、核心功能配置
4.1 文件完整性监控(FIM)
# 在 Agent 的 ossec.conf 中配置监控目录
# <syscheck>
# <frequency>600</frequency>
# <directories check_all="yes" realtime="yes">/etc,/usr/bin,/usr/sbin</directories>
# <directories check_all="yes" realtime="yes">/var/www</directories>
# <ignore>/etc/mtab</ignore>
# <ignore type="sregex">.log$|.swp$</ignore>
# </syscheck>4.2 日志分析与告警
# 添加自定义日志源
# <localfile>
# <log_format>syslog</log_format>
# <location>/var/log/nginx/access.log</location>
# </localfile>
# <localfile>
# <log_format>syslog</log_format>
# <location>/var/log/nginx/error.log</location>
# </localfile>4.3 漏洞检测
Wazuh 内置的漏洞检测模块会自动扫描系统安装的软件包,与 CVE 数据库对比,发现已知漏洞。在管理界面的 Vulnerability Detection 模块可以查看扫描结果。
五、自定义告警规则
# 编辑自定义规则文件
vi /var/ossec/etc/rules/local_rules.xml# 示例:检测特定文件被修改
# <group name="custom_rules">
# <rule id="100001" level="12">
# <if_sid>550</if_sid>
# <match>/etc/passwd</match>
# <description>Critical: /etc/passwd has been modified</description>
# </rule>
# </group>六、集成通知
6.1 邮件通知
# 在 Manager 的 ossec.conf 中配置
# <global>
# <email_notification>yes</email_notification>
# <smtp_server>smtp.gmail.com</smtp_server>
# <email_from>wazuh@example.com</email_from>
# <email_to>admin@example.com</email_to>
# <email_maxperhour>12</email_maxperhour>
# </global>6.2 Webhook 通知
可以配置 Wazuh 的 Integrator 模块将告警发送到 Slack、Telegram 等平台。
七、维护管理
# 查看 Agent 连接状态
docker exec -it wazuh.manager /var/ossec/bin/agent_control -l
# 重启 Wazuh Manager
docker restart wazuh.manager
# 查看告警日志
docker exec -it wazuh.manager tail -f /var/ossec/logs/alerts/alerts.json
# 备份配置和数据
docker exec wazuh.manager tar -czf /tmp/wazuh-backup.tar.gz /var/ossec/etc /var/ossec/rules
docker cp wazuh.manager:/tmp/wazuh-backup.tar.gz ./wazuh-backup.tar.gz总结
Wazuh 是目前最全面的开源安全监控平台,在搬瓦工 VPS 上部署后可以实时监控服务器安全状况。由于 Wazuh 包含 Elasticsearch 等组件,资源消耗较大,建议使用 4GB 以上内存的方案。如果资源有限,可以考虑轻量级替代方案 OSSEC。搭配 CrowdSec 可以实现检测加自动封锁的完整防御链。选购搬瓦工 VPS 请参考 全部方案,购买时使用优惠码 NODESEEK2026 可享受 6.77% 的折扣,通过 bwh81.net 进入官网购买。