SIEM/Log Management Triển khai wazuh agent windowns dạng failover

I. Giới thiệu​

1. Wazuh và Wazuh Agent​

Wazuh là một nền tảng mã nguồn mở chuyên về bảo mật thông tin, cung cấp khả năng phát hiện mối đe dọa, giám sát tính toàn vẹn của tệp tin và phản ứng sự cố (SIEM & XDR).

Thành phần quan trọng nhất ở phía người dùng cuối là Wazuh Agent. Đây là phần mềm nhẹ được cài đặt trên các máy trạm (Endpoint) như Windows, Linux, macOS. Agent chịu trách nhiệm thu thập log, giám sát hệ thống và gửi dữ liệu về Wazuh Manager để phân tích.

2. Mục đích​

Trong môi trường doanh nghiệp, để đảm bảo tính sẵn sàng cao (High Availability), chúng ta thường triển khai Wazuh theo mô hình Cluster (gồm nhiều node Manager). Tuy nhiên, trình cài đặt mặc định (.msi) của Wazuh trên Windows hiện có một hạn chế lớn:

• Vấn đề: Chỉ cho phép khai báo 1 địa chỉ IP Manager duy nhất trong quá trình cài đặt.
• Hậu quả: Nếu node Manager đó gặp sự cố (Down), Agent sẽ mất kết nối và không tự động chuyển sang các node khác (Failover/Dự phòng).
• Thách thức: Để bật tính năng Failover, quản trị viên phải sửa thủ công file cấu hình XML (ossec.conf) trên từng máy Windows để thêm các node còn lại. Việc này tốn nhiều thời gian và dễ sai sót nếu triển khai trên số lượng lớn máy tính.

Bài viết này chia sẻ một giải pháp Script tự động hóa (Batch Script) giúp cài đặt Agent và tự động cấu hình danh sách Cluster IP chỉ với một lần chạy.

II. Hướng dẫn thực hiện​

Dưới đây là đoạn mã Script giúp bạn thực hiện toàn bộ quy trình: Tải bộ cài, cài đặt và cấu hình Failover bằng PowerShell.

Bước 1: Tải file về và unzip chúng​

Bước 2: Chạy Script​

1. Click chuột phải vào file install_wazuh_cluster.bat.
2. Chọn Run as administrator (Bắt buộc để có quyền cài đặt và sửa Service).
3. Khi cửa sổ dòng lệnh hiện ra, nhập danh sách IP của các node Wazuh Manager.
   
   • Ví dụ: 192.168.1.10, 192.168.1.11, 192.168.1.12

Bước 3: Kiểm tra kết quả​

Sau khi Script báo thành công, bạn có thể kiểm tra file cấu hình tại C:\Program Files (x86)\ossec-agent\ossec.conf.

Bạn sẽ thấy phần <client> đã được tự động thêm đầy đủ các thẻ server; tương ứng với số lượng IP bạn nhập. Điều này đảm bảo nếu Server đầu tiên mất kết nối, Agent sẽ tự động chuyển sang Server thứ 2, thứ 3...

III. Kết luận​

Việc sử dụng Script tự động hóa này mang lại lợi ích kép: vừa tiết kiệm thời gian triển khai cho đội ngũ IT, vừa đảm bảo tính ổn định và khả năng chịu lỗi (Resilience) cho hệ thống giám sát an ninh.

Thay vì phải thao tác thủ công dễ sai sót, giờ đây việc triển khai Wazuh Agent hỗ trợ Cluster/Failover trên Windows đã trở nên đơn giản, chuẩn xác và nhanh chóng hơn bao giờ hết.