SIEM/Log Management Triển khai wazuh agent windowns dạng failover (tiếp theo)

Phần trước: Triển khai wazuh agent windowns dạng failover

I. Giới thiệu​

1. Wazuh và Wazuh Agent​

Wazuh là một nền tảng mã nguồn mở mạnh mẽ chuyên về bảo mật thông tin và giám sát an ninh hệ thống, cung cấp đầy đủ các chức năng của một SIEM (Security Information and Event Management) và XDR (Extended Detection and Response). Nền tảng này giúp các tổ chức phát hiện, phân tích, và phản ứng với các mối đe dọa an ninh mạng một cách chủ động. Wazuh có khả năng thu thập log, giám sát tính toàn vẹn của tệp tin (File Integrity Monitoring - FIM), phát hiện phần mềm độc hại, giám sát chính sách bảo mật, và tích hợp với nhiều công cụ khác như Elastic Stack để trực quan hóa và phân tích dữ liệu.

Thành phần quan trọng nhất ở phía người dùng cuối là Wazuh Agent. Đây là một phần mềm nhẹ (lightweight agent) được cài đặt trên các máy trạm hoặc máy chủ đầu cuối như Windows, Linux, hoặc macOS. Agent chịu trách nhiệm thu thập log hệ thống, giám sát tiến trình, kiểm tra tính toàn vẹn của tệp tin, phát hiện các hành vi bất thường và gửi dữ liệu về máy chủ Wazuh Manager để xử lý và phân tích. Thông qua đó, các quản trị viên có thể phát hiện sớm các mối đe dọa, theo dõi tình trạng bảo mật của từng thiết bị, và thực hiện các hành động phản ứng tự động khi có dấu hiệu tấn công.

2. Mục tiêu​

Giải pháp này được xây dựng nhằm tự động hóa quá trình cài đặt và cấu hình Wazuh Agent trên hệ thống Windows, hỗ trợ cả hai trường hợp có hoặc không có kết nối Internet.

• Trường hợp có Internet: Script sẽ tự động tải gói cài đặt Wazuh Agent từ trang chính thức, sau đó tiến hành cài đặt và cấu hình danh sách nhiều IP Manager (Cluster) để kích hoạt Failover.
• Trường hợp không có Internet: Script sẽ sử dụng gói cài đặt và file cấu hình có sẵn trong thư mục cục bộ, giúp triển khai nhanh chóng trong môi trường nội bộ hoặc cách ly mạng.

Mục tiêu là đảm bảo tính sẵn sàng cao (High Availability) cho hệ thống giám sát, giảm thiểu thao tác thủ công và tối ưu thời gian triển khai trên số lượng lớn máy trạm trong doanh nghiệp

II. Hướng dẫn thực hiện​

Dưới đây là đoạn mã Script giúp bạn thực hiện toàn bộ quy trình: Tải bộ cài, cài đặt và cấu hình Failover bằng PowerShell.

1. Click chuột phải vào file install_wazuh.bat.
2. Chọn Run as administrator (Bắt buộc để có quyền cài đặt và sửa Service).
3. Khi cửa sổ hiện ra, người dùng sẽ lựa chọn cài đặt offline hoặc online tùy thuộc vào môi trường của máy.
4. Khi cửa sổ dòng lệnh hiện ra, nhập danh sách IP của các node Wazuh Manager.
   • Ví dụ: 192.168.1.10, 192.168.1.11, 192.168.1.12

Sau khi Script báo thành công, bạn có thể kiểm tra file cấu hình tại C:\Program Files (x86)\ossec-agent\ossec.conf.

Bạn sẽ thấy phần <client> đã được tự động thêm đầy đủ các thẻ server; tương ứng với số lượng IP bạn nhập. Điều này đảm bảo nếu Server đầu tiên mất kết nối, Agent sẽ tự động chuyển sang Server thứ 2, thứ 3...

III. Kết luận​

Việc sử dụng Script tự động hóa mang lại nhiều lợi ích thiết thực cho quá trình triển khai Wazuh Agent trong môi trường doanh nghiệp. Công cụ này giúp tiết kiệm thời gian, giảm thiểu thao tác thủ công dễ sai sót và đảm bảo quy trình cài đặt, cấu hình diễn ra nhanh chóng, chính xác và nhất quán.
Bên cạnh đó, Script còn giúp tăng tính ổn định và khả năng chịu lỗi (Resilience) nhờ cơ chế kiểm tra, xử lý tự động khi gặp sự cố hoặc mất kết nối. Nhờ vậy, việc triển khai Wazuh Agent hỗ trợ Cluster/Failover trên Windows trở nên đơn giản, đáng tin cậy và hiệu quả hơn, đáp ứng tốt yêu cầu về tính sẵn sàng và an toàn trong hệ thống giám sát an ninh hiện đại