SIEM/Log Management [SIEM/Log Managemet] Triển khai tự động Wazuh Agent trên Windows và Linux

T

ThuanLeHiep

Intern
1. Triển khai script tự động trên windows
Tạo file install.bat
@echo off
setlocal
:: ===============================
:: Default config
:: ===============================
set WAZUH_INSTALLER_URL=https://packages.wazuh.com/4.x/windows/wazuh-agent-4.12.0-1.msi
set INSTALLER_PATH=%TEMP%\wazuh-agent-4.12.0-1.msi
:: ===============================
:: Ask user for Wazuh Manager IP
:: ===============================
set /p WAZUH_MANAGER=Enter Wazuh Manager IP:
:: ===============================
:: Download Wazuh Agent if not exists
:: ===============================
if not exist "%INSTALLER_PATH%" (
echo Downloading Wazuh Agent installer...
powershell -Command "Invoke-WebRequest -Uri %WAZUH_INSTALLER_URL% -OutFile %INSTALLER_PATH%"
)
:: ===============================
:: Install Wazuh Agent
:: ===============================
echo Installing Wazuh Agent...
msiexec.exe /i "%INSTALLER_PATH%" /qn WAZUH_MANAGER="%WAZUH_MANAGER%" WAZUH_REGISTRATION_SERVER="%WAZUH_MANAGER%" WAZUH_AGENT_NAME="%COMPUTERNAME%"
:: ===============================
:: Restart Wazuh service
:: ===============================
net stop wazuhsvc
net start wazuhsvc
echo ===============================
echo Wazuh Agent has been installed with Manager %WAZUH_MANAGER%
echo ===============================
pause
Nhấn để mở rộng...
Giải thích

Cấu hình mặc định


set WAZUH_INSTALLER_URL=https://packages.wazuh.com/4.x/windows/wazuh-agent-4.12.0-1.msi
set INSTALLER_PATH=%TEMP%\wazuh-agent-4.12.0-1.msi
Nhấn để mở rộng...
→ Khai báo URL tải và nơi lưu file cài

Nhập IP Wazuh Manager

set /p WAZUH_MANAGER=Enter Wazuh Manager IP:
Nhấn để mở rộng...
→ Người dùng nhập IP Manager

Tải bộ cài nếu chưa có

if not exist "%INSTALLER_PATH%" (
echo Downloading Wazuh Agent installer...
powershell -Command "Invoke-WebRequest -Uri %WAZUH_INSTALLER_URL% -OutFile %INSTALLER_PATH%"
)
Nhấn để mở rộng...
→ Nếu file chưa tồn tại thì tải về

Cài đặt Agent

msiexec.exe /i "%INSTALLER_PATH%" /qn ^
WAZUH_MANAGER="%WAZUH_MANAGER%" ^
WAZUH_REGISTRATION_SERVER="%WAZUH_MANAGER%" ^
WAZUH_AGENT_NAME="%COMPUTERNAME%"
Nhấn để mở rộng...
→ Cài đặt Wazuh Agent với tham số IP và tên máy

Khởi động lại dịch vụ



net stop wazuhsvc
net start wazuhsvc
Nhấn để mở rộng...
→ Restart dịch vụ để áp dụng config

Sau khi chạy file install.bat, cmd yêu cầu nhập ip manager
1758275900919.png

Sau đó tiến hành cài đặt
1758275922617.png

kiểm tra bên máy manager và thấy agent đã được đăng ký
1758275968331.png

Kiểm tra thấy agent đã được đưa vào group
1758276521576.png

2. Triển khai script tự động trên Linux
Tạo file install.sh
#!/bin/bash

# ========================
# Wazuh Agent Install & Safe Enrollment Update
# ========================

# Mặc định
WAZUH_MANAGER=""
WAZUH_AGENT_GROUP="Linux_agent"
WAZUH_AGENT_NAME="$(hostname)"

# Hàm hướng dẫn
usage() {
echo "Cách dùng: $0 -manager <IP/hostname> [-group <group_name>] [-name <agent_name>]"
exit 1
}

# Xử lý tham số dòng lệnh
while [[ $# -gt 0 ]]; do
case "$1" in
-manager)
WAZUH_MANAGER="$2"
shift 2
;;
-group)
WAZUH_AGENT_GROUP="$2"
shift 2
;;
-name)
WAZUH_AGENT_NAME="$2"
shift 2
;;
*)
echo "❌ Tham số không hợp lệ: $1"
usage
;;
esac
done

# Bắt buộc phải có Manager
if [ -z "$WAZUH_MANAGER" ]; then
echo "❌ Thiếu tham số -manager"
usage
fi

# Kiểm tra quyền root
if [ "$EUID" -ne 0 ]; then
echo "❌ Bạn phải chạy script bằng quyền root (sudo)."
exit 1
fi

# Lấy IP chính của máy
AGENT_IP=$(hostname -I | awk '{print $1}')

echo " Cài đặt hoặc cập nhật Wazuh Agent..."
echo "➡️ Manager: $WAZUH_MANAGER"
echo "➡️ Group: $WAZUH_AGENT_GROUP"
echo "➡️ Name: $WAZUH_AGENT_NAME"
echo "➡️ IP: $AGENT_IP"

# Bước 1: Import GPG key
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH \
| gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import
chmod 644 /usr/share/keyrings/wazuh.gpg

# Bước 2: Thêm repo Wazuh
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" \
| tee /etc/apt/sources.list.d/wazuh.list

# Bước 3: Update hệ thống
apt-get update -y

# Bước 4: Cài đặt Wazuh agent
WAZUH_MANAGER="$WAZUH_MANAGER" \
WAZUH_AGENT_GROUP="$WAZUH_AGENT_GROUP" \
WAZUH_AGENT_NAME="$WAZUH_AGENT_NAME" \
apt-get install -y wazuh-agent

OSSEC_CONF="/var/ossec/etc/ossec.conf"

# Backup config gốc
cp $OSSEC_CONF ${OSSEC_CONF}.bak.$(date +%s)

# Enable & restart agent
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl restart wazuh-agent

echo "✅ Wazuh Agent đã được cài đặt/cập nhật enrollment thành công!"
Nhấn để mở rộng...

Tiến hành cấp quyền cho file bash
chmod +x install.sh
Nhấn để mở rộng...

Sau đó tiến hành chạy file install.sh bằng câu lệnh
./install.sh -manager <ip_manager> -group <group_id>
1758277127517.png

1758277321547.png

Kiểm tra bên manager
1758277814592.png

Kiểm tra xem agent đã được đưa vào group chưa
1758277868248.png
 
Bài viết liên quan
[SIEM/Log Management] Parsing log Sophos Firewall trên Vector theo ECS bởi Võ Đức Chính,
[SIEM/Log Managemet] Thu thập log MSSQL bởi Nguyễn Kim Khánh,
[SIEM/Log Management] Parsing log Sophos Firewall trên Vector bởi Võ Đức Chính,
Cài đặt Wazuh Agent và đẩy log Active Directory (AD), Ubuntu OS lên Wazuh Manager bởi Lăng Thị Cẩm Nhung,
[SIEM/Log Management] Wazuh tích hợp Opensearch + Vector thu thập log Sophos Firewall bởi Võ Đức Chính,
[SIEM/Log Managemet] Triển khai Wazuh (Manager + Agent) thu thập logs và gửi về OpenSearch bằng Vector.dev bởi Võ Đức Chính,
Bài viết mới
[SIEM/Log Management] Parsing log Sophos Firewall trên Vector theo ECS bởi Võ Đức Chính,
[SIEM/Log Managemet] Thu thập log MSSQL bởi Nguyễn Kim Khánh,
[SIEM/Log Management] Parsing log Sophos Firewall trên Vector bởi Võ Đức Chính,
Cài đặt Wazuh Agent và đẩy log Active Directory (AD), Ubuntu OS lên Wazuh Manager bởi Lăng Thị Cẩm Nhung,
[SIEM/Log Management] Wazuh tích hợp Opensearch + Vector thu thập log Sophos Firewall bởi Võ Đức Chính,
[SIEM/Log Managemet] Triển khai Wazuh (Manager + Agent) thu thập logs và gửi về OpenSearch bằng Vector.dev bởi Võ Đức Chính,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top